Cisco corrige bug que permite persistência de backdoor entre reinicializações

Cisco corrige bug que permite persistência de backdoor entre reinicializações. Cisco lança correções para vulnerabilidades de alta gravidade.

A Cisco lançou atualizações de segurança esta semana para solucionar uma vulnerabilidade de alta gravidade no ambiente de hospedagem de aplicativos Cisco IOx que pode ser explorada em ataques de injeção de comando.

A falha de segurança (CVE-2023-20076) se deve à sanitização incompleta dos parâmetros passados ​​durante o processo de ativação do app. Foi encontrado e relatado pelos pesquisadores de segurança Sam Quinn e Kasimir Schulz com o Trellix Advanced Research Center.

A exploração bem-sucedida em ataques de baixa complexidade que não exigem interação do usuário permite que agentes de ameaças autenticados remotamente executem comandos com permissões de root no sistema operacional subjacente.

“Um invasor pode explorar essa vulnerabilidade implantando e ativando um aplicativo no ambiente de hospedagem do aplicativo Cisco IOx com um arquivo de carga útil de ativação criado”, explica a Cisco em um comunicado de segurança publicado na quarta-feira.

A empresa diz que a vulnerabilidade afeta os dispositivos Cisco que executam o software IOS XE, mas apenas se eles não suportarem o docker nativo.

Além dos dispositivos baseados em IOS XE configurados com IOx, a lista de dispositivos afetados também inclui roteadores industriais ISR da série 800, módulos de computação CGR1000, gateways de computação industrial IC3000, roteadores industriais IR510 WPAN e pontos de acesso Cisco Catalyst (COS-APs).

A empresa também confirmou que a falha CVE-2023-20076 não afeta os switches Catalyst 9000 Series, software IOS XR e NX-OS ou produtos Meraki.

O que encontramos pt. 1 – CVE-2023-20076 (injeção de comando remoto autenticado)
– Afeta uma ampla variedade de dispositivos @Cisco .
– Permite que o invasor injete código no campo da interface da Web da Cisco.
– Nossa equipe usou a injeção de comando para obter um shell persistente que sobreviveu às reinicializações do dispositivo.

— Trellix Advanced Research Center (@TrellixARC) 1º de fevereiro de 2023

Habilita a persistência entre as reinicializações

Os invasores só podem explorar essa vulnerabilidade se tiverem acesso administrativo autenticado aos sistemas vulneráveis.

No entanto, os pesquisadores da Trellix explicaram que os agentes de ameaças exploram outras falhas de segurança que permitem o escalonamento de privilégios ou podem usar várias táticas para obter credenciais de administrador.

Por exemplo, para obter acesso de administrador aos dispositivos de destino, eles podem usar:

• Credenciais de login padrão: muitos dispositivos Cisco são enviados com o nome de usuário e a senha padrão “cisco:cisco” ou “admin:admin” que muitos não conseguem alterar
• Phishing: o método mais usado pelos invasores para coletar credenciais é enganar os funcionários para que façam login em uma IU de roteador falsa ou falsifiquem um e-mail do próprio roteador com um link para a página de login “solicitando a atualização do firmware”.
• Engenharia social: os invasores também obtêm sucesso explorando a fraqueza humana por meio da engenharia social de alguém para entregar credenciais

Depois que esse requisito for atendido, os invasores podem explorar o CVE-2023-20076 para “acesso irrestrito, permitindo que o código malicioso se espreite no sistema e persista em reinicializações e atualizações de firmware“,  como explicaram os pesquisadores .

“Ignorar essa medida de segurança significa que, se um invasor explorar essa vulnerabilidade, o pacote malicioso continuará em execução até que o dispositivo seja redefinido de fábrica ou até que seja excluído manualmente”.

Isso é possível porque a injeção de comando permite ignorar as atenuações implementadas pela Cisco para evitar a persistência da vulnerabilidade entre as reinicializações do sistema ou as redefinições do sistema.

A equipe de resposta a incidentes de segurança de produtos da Cisco (PSIRT) diz que não encontrou evidências de que essa vulnerabilidade esteja sendo explorada em estado selvagem.

Em janeiro, a Cisco  alertou os clientes  sobre uma vulnerabilidade crítica de desvio de autenticação (CVE-2023-20025) com código de exploração público afetando vários modelos de roteadores VPN em fim de vida.

Uma semana depois, o Censys encontrou  mais de 20.000 roteadores Cisco RV016, RV042, RV042G e RV082  sem patch contra CVE-2023-20025 e expostos a ataques.

Cisco lança recomendações de segurança para vários produtos

A Cisco lançou atualizações de segurança para vulnerabilidades que afetam vários produtos. Um invasor remoto pode explorar essas vulnerabilidades para assumir o controle de um sistema afetado.

A CISA incentiva os usuários e administradores a revisar a página Cisco Security Advisories e aplicar as atualizações necessárias.

Fonte: BleepingComputer & CISA

Veja também:

• Novo Ransomware Nevada tem como alvo os sistemas Windows e VMware ESXi
• Interrupção massiva do Microsoft 365
• 10 violações de dados que são o pesadelo dos CISOs
• Ciberguerra na nuvem: como os ataques DDoS foram mitigados em 2022
• Pesquisa revela que 7 em cada 10 empresas pagam por ferramentas de IDM e não usam
• Maior evento sobre monitoramento da América Latina será realizado no Brasil em 2023
• Sistemas de segurança antigos podem ser alvo de ciberataques
• Apple corrige vulnerabilidade do iOS explorada em iPhones antigos
• Zendesk hackeado após funcionários caírem em ataque de phishing
• Sete passos para a criação de um plano de contingência
• Hackers usam anexos do Microsoft OneNote para espalhar malware
• Violação T-Mobile: episódio reforça a importância da proteção das APIs