■ Actualizaciones
30 de octubre: Horizon3 con la información capturada por SECUINFRA Falcon Team, hacen pública una prueba de concepto que permite explotar la vulnerabilidad CVE-2023-20198, evadiendo la autenticación de Cisco IOS XE y creando un usuario malicioso con privilegio level 15 (control total sobre el dispositivo).
29 de octubre: Más de 1900 dispositivos en Chile aún se mantienen comprometidos con el implante 2.0.
21 de octubre: Los dispositivos fueron actualizados con una versión 2.0 del implante (ONYPHE). Las correcciones para CVE-2023-20198 y CVE-2023-20273 ya están disponibles oficialmente.
20 de octubre: Se identificó una vulnerabilidad adicional en la cadena de ataque y se le asigno un nuevo identificador CVE (CVE-2023-20273).
■ Resumen y hechos claves
- El pasado 16 de octubre de 2023, Cisco informó sobre una nueva vulnerabilidad crítica (CVSS 10.0) en la Interfaz de Usuario Web (Web UI) de los dispositivos Cisco IOS XE. La vulnerabilidad ahora es conocida como CVE-2023-20198, puede ser explotada de forma no autenticada y conduce finalmente a la ejecución remota de código en el dispositivo.
- Cisco alertó sobre la explotación activa de esta vulnerabilidad para implementar un script malicioso conocido como implante (o backdoor) y crear cuentas de usuario con nivel de privilegio 15, otorgando al adversario el control total del dispositivo para actividades de intrusión posteriores.
- En las últimas horas, CronUp ha confirmado un aumento sistemático de los ataques, logrando identificar más de 41.000 dispositivos Cisco comprometidos (al momento de esta publicación) y ha reportado al CSIRT del Gobierno de Chile, más de 2.100 equipos infectados en territorio nacional.
- La recomendación inmediata que ha proporcionado Cisco es desactivar la función de servidor HTTP en los sistemas orientados a Internet. Esto es coherente no sólo con las mejores prácticas, sino también con las recomendaciones del gobierno de EE.UU. respecto al riesgo de exponer a Internet las interfaces de administración. Por el momento, aún no hay parches oficiales.
- Esta alerta se trata de una vulnerabilidad crítica y se recomienda encarecidamente a las entidades afectadas que apliquen inmediatamente los pasos indicados en el aviso PSIRT de Cisco.
■ Análisis del panorama de amenaza mundial
Debido a la severidad de esta alerta, realizamos un estudio para dimensionar el universo de dispositivos posiblemente afectados o comprometidos por esta vulnerabilidad en el mundo.
Según nuestra búsqueda en Shodan (http.html_hash:1076109428,-2027312840), existen más de 152.000 servicios que responden con la Interfaz de Administración Web de Cisco IOS habilitada hacia Internet. La mayoría de dispositivos Cisco IOS responden de igual manera por el puerto 80 y 443, por tal razón, se debe considerar la duplicidad de resultados cuando se habla de IPs únicas.
Por otro lado, nuestra búsqueda en Censys (services.http.response.body_hash=’sha1:c463e275d21f96391a242ae3d0bf5f1d2c15edeb’ or services.http.response.body_hash=’sha1:f3f91fd07eb71a7f8ff34111d85cde781070c4ed’), indica que existen más de 91.400 IPs únicas que responden con la Interfaz de Administración Web de Cisco IOS habilitada.
En el TOP de resultados por paises se encuentra Estados Unidos con 17.121 mil dispositivos, Filipinas con 6.581 dispositivos, México con 4.486 dispositivos y Chile con 4.400 dispositivos Cisco Web UI expuestos a Internet.
Importante mencionar que muchos de los dispositivos Cisco expuestos en Chile están administrados por los grandes ISP. El listado a continuación corresponde a las redes con más instancias expuestas en el país (según cantidad hosts).
■ Implante y validación remota
La siguiente imagen corresponde al implante instalado en uno de los casos analizados por Cisco Talos, este backdoor permite a los atacantes ejecutar código remoto en los sistemas comprometidos.
De acuerdo al código anterior, las siguientes dos consultas pueden ser utilizadas para validar el compromiso de un sistema de forma remota:
1.- curl -k -X POST "hxxps://IP/webui/logoutconfirm.html?logon_hash=1"
Si la respuesta del servidor es un string de 18 caracteres en hexadecimal, el dispositivo está comprometido. PoC mencionada en la alerta de Talos.
2.- curl -k -X POST "hxxps://IP/webui/logoutconfirm.html?menu=1"
Si la respuesta del servidor es un string con un formato tipo ‘/1010202301/’, el dispositivo está comprometido. Esta PoC no se menciona en la alerta de Talos.
Ejemplo de consultas con resultados positivos
■ Resultados del análisis
De acuerdo a los antecedentes anteriores y a los escaneos dirigidos realizados por nuestra plataforma ATRc® – Alerta Temprana de Riesgos Cibernéticos:
CronUp detectó más de 41.000 dispositivos Cisco comprometidos en el mundo y ha reportado al CSIRT del Gobierno de Chile, más de 2.100 de estos equipos infectados en territorio nacional.
Importante, en este momento no es posible validar que los implantes detectados correspondan efectivamente a la explotación de CVE-2023-20198 o a alguna otra vulnerabilidad adicional.
Nuevos reportes dirigidos a otros CSIRT de Iberoamérica serán enviados en las próximas horas.
■ Más referencias
Los links a continuación poseen más detalles sobre la vulnerabilidad, los indicadores de compromiso, los ataques analizados y otras herramientas desarrolladas para la comprobación remota.
- https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z
- https://www.rapid7.com/blog/post/2023/10/17/etr-cve-2023-20198-active-exploitation-of-cisco-ios-xe-zero-day-vulnerability/
- https://vulncheck.com/blog/cisco-implants
- https://www.cisa.gov/news-events/directives/binding-operational-directive-23-02
- https://github.com/vulncheck-oss/cisco-ios-xe-implant-scanner
- https://github.com/ZephrFish/Cisco-IOS-XE-Scanner
- https://censys.com/cve-2023-20198-cisco-ios-xe-zeroday/
- https://twitter.com/leak_ix/status/1714342183141028307
- https://twitter.com/Shadowserver/status/1714483336876355873
- https://www.greynoise.io/blog/unpacking-cve-2023-20198-a-critical-weakness-in-cisco-ios-xe
- https://github.com/SIFalcon/research/tree/main/CVE-2023-20198
Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence
