Exploração Ativa em Vulnerabilidade Zero-Day no Cisco IOS XE: CVE-2023-20198
A Cisco, uma das principais empresas de equipamentos de rede, emitiu um alerta sobre uma vulnerabilidade crítica, não corrigida, que está sendo ativamente explorada no ambiente virtual. A vulnerabilidade zero-day, identificada como CVE-2023-20198, recebeu a classificação máxima de gravidade, 10.0, de acordo com o sistema de pontuação CVSS.
Essa falha está enraizada no recurso de interface de usuário da web (Web UI) e afeta exclusivamente dispositivos de rede empresarial com esse recurso habilitado e que estejam expostos à internet ou a redes não confiáveis. A exploração bem-sucedida dessa vulnerabilidade permite que um atacante remoto não autenticado crie uma conta em um sistema afetado com acesso de privilégio nível 15, que é o nível mais alto de acesso. Com essa conta, o atacante pode assumir o controle do sistema afetado.
Os dispositivos físicos e virtuais que executam o software Cisco IOS XE e possuem o recurso do servidor HTTP ou HTTPS habilitado também são afetados. Como medida de mitigação, a Cisco recomenda desabilitar o servidor HTTP em sistemas voltados para a internet.
A Cisco identificou a vulnerabilidade após detectar atividades maliciosas em um dispositivo de cliente não identificado, em setembro de 2023. Nessas atividades, um usuário autorizado criou uma conta de usuário local sob o nome "cisco_tac_admin" de um endereço IP suspeito. Essa atividade incomum foi detectada em 18 de setembro de 2023 e encerrada em 1º de outubro de 2023.
Em uma segunda série de atividades relacionadas, observada em 12 de outubro de 2023, um usuário não autorizado criou uma conta de usuário local chamada "cisco_support" a partir de um endereço IP diferente.
A Cisco atribuiu ambas as séries de atividades ao mesmo ator de ameaça, embora a origem exata do agente ainda não esteja clara. Essa descoberta levou a Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA) a emitir um aviso e adicionar a vulnerabilidade à lista de Vulnerabilidades Conhecidas Exploradas (KEV).
Para agravar a situação, um relatório da VulnCheck revelou que os atacantes exploraram a CVE-2023-20198 para comprometer e infectar milhares de dispositivos Cisco IOS XE. Isso representa uma ameaça substancial, uma vez que o acesso privilegiado ao IOS XE permite que os invasores monitorem o tráfego de rede, acessem redes protegidas e realizem ataques do tipo "man-in-the-middle". Ainda não há um patch disponível para essa vulnerabilidade, tornando imperativo que as organizações busquem evidências de comprometimento e tomem as medidas apropriadas.
A empresa de gerenciamento de superfície de ataque Censys, um dia antes dessa postagem identificou 34.140 dispositivos que mostraram sinais de comprometimento e parecem ter backdoor instalado. A maior parte das infecções está nos Estados Unidos, seguida pelas Filipinas, Chile, México, Índia, Tailândia, Peru, Brasil, Austrália e Singapura.Essa vulnerabilidade é uma lembrança de que a segurança cibernética é uma preocupação constante e que as organizações devem estar preparadas para responder a ameaças emergentes e tomar medidas proativas para proteger suas redes e sistemas contra explorações potenciais.
Quer amadurecer seu programa de segurança cibernética através do gerenciamento de vulnerabilidades? Conheça a EcoTrust, a #1 plataforma SaaS de Inteligência em Riscos Cibernéticos, que através da identificação e priorização de riscos cibernéticos críticos para o negócio, ajuda empresas a serem mais resilientes a ataques cibernéticos. Agende uma demo aqui