Alerta de seguridad
Nivel de peligrosidad: Crítico
Descripción
La vulnerabilidad identificada como CVE-2023-33172 (CVSS 9.8) es una vulnerabilidad de ejecución remota de código RCE en el software de gestión de CISCO IOS XE. Esta vulnerabilidad se produce cuando el software no valida correctamente los datos de entrada. Esto permite a un atacante enviar un mensaje mal formado al router que puede provocar que el router ejecute código arbitrario.
Los atacantes han utilizado la vulnerabilidad para instalar malware en los routers afectados. El malware puede utilizarse para robar datos, controlar los routers o realizar ataques DDoS.
Recursos afectados
- CISCO IOS XE versiones anteriores a la 17.6.2
Solución
-
Actualizar a la versión CISCO IOS XE 17.6.2 o posteriores
Indicadores de compromiso
Para determinar si un sistema puede haber sido comprometido, realice las siguientes comprobaciones:
Verifique los registros del sistema para detectar la presencia de cualquiera de los siguientes mensajes de registro donde usuario podría ser cisco_tac_admin, cisco_support o cualquier usuario local configurado que sea desconocido para el administrador de la red:
% SYS-5-CONFIG_P: Configurado programáticamente por proceso SEP_webui_wsma_http desde la consola como usuario en línea
% SEC_LOGIN-5-WEBLOGIN_SUCCESS: Iniciar sesión Éxito [usuario: usuario] [Fuente: source_IP_address] a las 03:42:13 UTC mié 11 de octubre de 2023
Nota: Los % SYS-5-CONFIG_P el mensaje estará presente para cada caso en que un usuario haya accedido a la interfaz de usuario web. El indicador a buscar son nombres de usuario nuevos o desconocidos presentes en el mensaje.
Check the system logs for the following message where nombre de archivo es un nombre de archivo desconocido que no se correlación con una instalación de archivo esperada :
% WEBUI-6-INSTALL_OPERATION_INFO: Usuario: nombre de usuario, Instalar operación: ADD nombre de archivo
CISCO Talos ha proporcionado el siguiente comando para verificar la presencia del implante donde systemip es la dirección IP del sistema a verificar. Este comando debe emitirse desde una estación de trabajo con acceso al sistema:
curl -k -H "Autorización: 0ff4fbf0ecffa77ce8d3852a29263e263838e9bb" -X POST "https: //systemip/webui/logoutconfirm.html?logon_hash = 1 "
Si la solicitud devuelve una cadena hexadecimal como 0123456789abcdef01, el implante está presente.
Recomendaciones
Los usuarios de los routers afectados deben actualizar a la brevedad posible los equipos debido a la cantidad masiva de explotaciones de día cero se están efectuando en el medio.
Referencias
Explotan vulnerabilidad de día cero en dipositivos CISCO para instalar malware en router