CISCO ha publicado actualizaciones de seguridad para corregir una vulnerabilidad de alta gravedad, identificada como CVE-2023-20076 con puntuación CVSS de 7.2, en el entorno de alojamiento de aplicaciones Cisco IOx que puede explotarse en ataques de inyección de comandos.
Esta falla se debe a una sanitización incompleta de los parámetros que se pasan para la activación de una aplicación. Un atacante podría aprovechar esta vulnerabilidad al implementar y activar una aplicación en el entorno de alojamiento de aplicaciones Cisco IOx con un archivo de carga útil de activación manipulado. Una explotación exitosa podría permitir que el atacante ejecute comandos arbitrarios como root en el sistema operativo host subyacente.
Productos afectados
Esta vulnerabilidad afecta a los dispositivos Cisco que ejecutan el software Cisco IOS XE si tienen habilitada la función Cisco IOx y no admiten la ventana acoplable nativa.
Los siguientes dispositivos, que no son compatibles con la ventana acoplable nativa (native docker), también son vulnerables si ejecutan una versión de software vulnerable y tienen habilitada la función Cisco IOx.
- 800 Series Industrial ISRs
- Catalyst Access Points (COS-APs)
- CGR1000 Compute Modules
- IC3000 Industrial Compute Gateways (versiones de software anteriores a la 1.2.1)
- IR510 WPAN Industrial Routers
Productos confirmados no vulnerables
Cisco ha confirmado que esta vulnerabilidad no afecta a los siguientes productos de Cisco:
- Catalyst 9000 Series Switches (la ventana acoplable nativa es compatible con todas las versiones)
- IOS XR Software
- Meraki products
- NX-OS Software (la ventana acoplable nativa es compatible con todas las versiones)
No hay soluciones alternativas que aborden esta vulnerabilidad. Sin embargo, los clientes que no deseen utilizar el entorno de alojamiento de aplicaciones Cisco IOx pueden desactivar IOx de forma permanente en el dispositivo mediante el comando de configuración “no iox”.
Habilita la persistencia entre reinicios
Los atacantes solo pueden explotar esta vulnerabilidad si tienen acceso administrativo autenticado a los sistemas vulnerables. Para lograr obtener estos privilegios los atacantes pueden usar diversas técnicas como phishing o ingeniería social, para hacerse con las credenciales de inicio de sesión; o intentar acceder con las credenciales predeterminadas cuyo usuario y contraseña suelen ser «cisco:cisco» o «admin:admin».
Una vez que han logrado el inicio de sesión, los atacantes pueden explotar CVE-2023-20076 para obtener acceso sin restricciones, lo que permite que el código malicioso se esconda en el sistema y persista durante los reinicios y las actualizaciones de firmware.
Esto es posible porque la inyección de comandos permite omitir las mitigaciones implementadas por Cisco para evitar la persistencia de vulnerabilidades entre reinicios o reinicios del sistema.
Eludir esta medida de seguridad significa que, si un atacante explota esta vulnerabilidad, el paquete malicioso seguirá ejecutándose hasta que el dispositivo se restablezca de fábrica o hasta que se elimine manualmente.
Los usuarios deben asegurarse de que los dispositivos que se van a actualizar contengan suficiente memoria y confirmar que las configuraciones actuales de hardware y software seguirán siendo compatibles con la nueva versión.
Recomendaciones
- Actualizar los dispositivos a la última versión disponible.
Referencias