Publican exploit para vulnerabilidad en Cisco IOS XE – Hacker

Un exploit PoC para una vulnerabilidad crítica en Cisco IOS XE (CVE-2023-20198), que ya ha sido utilizado por atacantes para piratear decenas de miles de dispositivos, está disponible públicamente. Los investigadores esperan que ahora haya aún más ataques.

CVE-2023-20198

Desde septiembre de 2023, los dispositivos Cisco que ejecutan IOS XE han estado bajo ataques masivos debido a vulnerabilidades de día 0 descubiertas recientemente. CVE-2023-20198 y CVE-2023-20273.

Los atacantes utilizan los errores CVE-2023-20198 y CVE-2023-20273 para penetrar dispositivos vulnerables y crear cuentas privilegiadas (con la más alta nivel de privilegio 15), y luego obtener derechos de root e instalar en el sistema una puerta trasera escrita en Lua, que le permite ejecutar comandos de forma remota.

Ambas vulnerabilidades solo se pueden explotar si el dispositivo tiene habilitada la función de interfaz web (servidor HTTP), lo que se puede hacer a través del servidor ip http o del servidor ip http seguro, y el dispositivo está conectado a Internet o a una red que no es de confianza.

A finales de octubre, el número de dispositivos comprometidos en los que se detectó un implante Lua superó los 50.000, pero luego disminuyó drásticamente. Los investigadores encontraron sólo entre 100 y 1.000 dispositivos pirateados, dependiendo de los resultados de los diferentes análisis.

Resultó que los atacantes detrás de estos ataques se dio cuenta de su error (su implante se detectó con demasiada facilidad de forma remota) y el código malicioso en decenas de miles de dispositivos comprometidos fue “modificado para verificar el valor del encabezado de autorización HTTP antes de responder”.

Los analistas de Fox-IT informaron que, a finales de octubre de 2023, alrededor de 38.000 hosts de Cisco IOS XE estaban infectados.

Investigadores de Horizon3.ai detalles compartidos sobre cómo un atacante puede eludir la autenticación en dispositivos Cisco IOS XE que son vulnerables a CVE-2023-20198. El informe técnico de la compañía muestra que los piratas informáticos pueden utilizar la vulnerabilidad para crear un nuevo usuario con la más alta nivel de privilegioyy 15que proporciona un control total sobre el dispositivo.

El exploit fue desarrollado gracias a informaciónobtenido mediante honeypot del equipo de ciberforense SECUINFRA.

Horizon3.ai explica que un atacante puede codificar una solicitud HTTP al servicio Web Services Management Agent (WMSA) en iosd, un archivo binario de IOS XE que puede generar un archivo de configuración para OpenResty (un servidor basado en Nginx con soporte para scripts Lua). utilizado por el servicio webui, vulnerable a CVE-2023-20198.

“La esencia de la vulnerabilidad radica en la primera línea de la solicitud. POST /%2577ebui_wsma_HTTP. Codificación complicada webui_wsma_http evita las negociaciones de Nginx y le permite acceder al servicio WMSA en iosd“, escriben los expertos.

WSMA le permite ejecutar comandos a través de solicitudes SOAP, incluidas aquellas que dan acceso a una función de configuración que le permite crear usuarios altamente privilegiados en el sistema. Al probar su exploit, los investigadores pudieron crear un nuevo usuario con privilegios de nivel 15, visible en la interfaz de administración del dispositivo. Después de esto, el atacante obtiene control total sobre el dispositivo y puede introducir implantes maliciosos sin recurrir al uso de otros errores.

LeakIX, que se especializa en recopilar información sobre servicios en línea no seguros, confirma que el exploit observado en SECUINFRA puede usarse para comprometer con éxito dispositivos Cisco IOS XE vulnerables. Además, los atacantes atacaron los honeypots LeakIX para Cisco IOS XE, lo que permitió a los investigadores ver Comandos ejecutados en dispositivos.

Así, en el archivo PCAP de la sesión, queda claro que los piratas informáticos ejecutaron los siguientes comandos de reconocimiento y recopilación de información para descubrir objetivos importantes:

  • mostrar breve interfaz ip;
  • mostrar vista IP DNS;
  • mostrar servidores de nombres ip.

Vale la pena señalar que a principios de esta semana los desarrolladores de Cisco actualizaron su boletín de seguridad, dedicado a CVE-2023-20198, informando actualizaciones para IOS XE relacionadas con esta vulnerabilidad. Actualmente, según se informa, solo la versión 17.3 sigue siendo vulnerable a este error y la compañía solucionó el problema en Actualizaciones de mantenimiento de software (SMU).


1698880719


2023-11-01 18:30:57
#Publican #exploit #para #vulnerabilidad #Cisco #IOS #Hacker

leer más  ¿Cuánto cuesta Infinix Zero Ultra? Consulte las especificaciones de HP con calidad de cámara de hasta 200 MP lanzada

Recent News

Tags
28000 Amargo A nosotros anuncio artículos ASIA ASXPAC Australia auto Baloncesto Chartres CMPNY COVID-19 cáncer deporte Deportes Economía edición digital EE.UU EMRG Entretenimiento Estados Unidos Europa Foto Francia fútbol fútbol americano GEN GUERRA intención manzana Medios de comunicación mundo Música negocio Noticias periódico política porcelana Rusia salud tecnología TOPNWS Ucrania Video

Related News

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.