Una vulnerabilidad Zero Day afecta a más de 40.000 dispositivos de Cisco
La vulnerabilidad de la interfaz de usuario web permite la escalada de privilegios no autorizada en los dispositivos. Una cuarta parte de todos los afectados se encuentra en Estados Unidos.
Una ataque Zero Day (día cero) crítico basado en la interfaz de usuario web de Cisco, tiene más de 40.000 hosts infectados, aproximadamente una cuarta parte solo en Estados Unidos. Siguiendo de cerca la vulnerabilidad de escalada de privilegios de esa interfaz (denominada CVE-2023-20198), la firma de investigación Censys reveló que la cantidad de dispositivos comprometidos disminuyó ligeramente el pasado 19 de octubre tras dos semanas de fuertes saltos.
“En las últimas 24 horas desde nuestra última actualización sobre los compromisos en curso, hay noticias prometedoras y preocupantes”, dijo Censys en un comunicado. “Si bien la oleada inicial de compromisos parece haber disminuido, ahora estamos lidiando con un número sustancial de enrutadores comprometidos”.
El 16 de octubre, Cisco emitió un aviso contra una vulnerabilidad de alta gravedad (CVSS 10) en la función de interfaz web en los dispositivos que ejecutan el software IOS XE. El error permitía la escalada de privilegios no autentificados y contaba con una explotación activa.
Estados Unidos y Filipinas, los más afectados
La investigación ha encontrado un total de 36.541 dispositivos infectados activamente hasta el 19 de octubre, y señaló que alrededor de 5.400 fueron eliminados (desconectándolos o desactivando las funciones de la interfaz de usuario) en 24 horas.
La vulnerabilidad afectó en varios países, entre los que se incluyen Estados Unidos, Filipinas, México, Chile e India. El 6 de octubre se informó de un total de 4.659 dispositivos afectados en Estados Unidos. Filipinas ocupó el segundo lugar con 3.966 y 3.224 dispositivos en los respectivos días. Globe Telecoms, Uninet y CTC Corp Telefónica Empresas fueron las principales organizaciones afectadas en estas dos geografías, con más de 1.000 dispositivos.
Una serie de errores críticos
Cisco ha tenido unos últimos dos meses muy ocupados con seis exploits de nivel alto a crítico en sus sistemas. CVE-2023-20198, el error que permite a los usuarios no autentificados crear una cuenta en el sistema afectado con privilegios de nivel 15, fue descubierto por la compañía mientras resolvía casos de soporte de TAC debido a una regla de detección existente para una vulnerabilidad anterior.
Según el aviso de Cisco, no hay soluciones disponibles para la vulnerabilidad y la única recomendación que proporcionó la compañía es deshabilitar la función de servidor HTTP en todos los sistemas orientados a Internet.
En cuanto a los indicadores de compromiso (IOC), la compañía ha aconsejado a los usuarios que busquen nombres de usuario nuevos o desconocidos presentes en los mensajes de configuración, generados cada vez que se accede a la función de interfaz de usuario web.
