Detección de CVE-2023-20198: Vulnerabilidad Día Cero de Cisco IOS XE Explotada Activamente para Instalar Implantes
Tabla de contenidos:
Justo después de un nuevo aumento en la campaña Balada Injector de larga duración que explota CVE-2023-3169, otro error crítico de seguridad en productos de software populares sale a la luz. Una nueva vulnerabilidad de escalada de privilegios que afecta el software Cisco IOS XE está siendo activamente explotada en el entorno para ayudar a instalar implantes en los dispositivos afectados.
La vulnerabilidad de día cero descubierta conocida como CVE-2023-20198 permite a los adversarios remotos y no autenticados generar una cuenta a nivel de privilegio en un sistema comprometido. Mientras que el parche actualmente no está disponible, CVE-2023-20198 representa un grave riesgo de seguridad para instancias potencialmente hackeadas.
Detectar Intentos de Explotación de CVE-2023-20198
En el panorama de amenazas que evoluciona rápidamente hoy en día, marcado por un aumento implacable de vulnerabilidades utilizadas en aplicaciones relacionadas con negocios e incrementando su uso por atacantes para quebrantar la defensa de la infraestructura organizacional, se requiere un enfoque proactivo y ágil para la detección de amenazas. La Plataforma SOC Prime ofrece una gama de herramientas de ciberseguridad robustas adaptadas para mejorar las capacidades de defensa cibernética y la eficiencia de los equipos SOC.
Sumérgete en el ámbito de la inteligencia de amenazas en tiempo real para adelantarte a las amenazas emergentes con el feed más rápido del mundo sobre las últimas Tácticas, Técnicas y Procedimientos (TTPs) utilizados por los adversarios. Para fortalecer tus defensas contra posibles intentos de explotación de CVE-2023-20198, SOC Prime ofrece una regla Sigma curada que ayuda a identificar patrones sospechosos de solicitudes web, que pueden estar relacionados con el implante interno malicioso o un atacante interno intentando explotar la vulnerabilidad dentro del entorno. La detección está mapeada al marco MITRE ATT&CK® y acompañada de extensos metadatos para agilizar la investigación.
La regla es compatible con 18 tecnologías SIEM, EDR, XDR y Data Lake, abordando la táctica de Movimiento Lateral con la técnica de Explotación de Servicios Remotos (T1210).
Para potenciar la investigación de amenazas, los usuarios de SOC Prime también pueden sacar provecho de una regla Sigma a continuación que ayuda a detectar posibles intentos de explotación de CVE-2023-20198 identificando cuentas sospechosas en el dispositivo (consulte la lista de IOCs proporcionados por el proveedor del dispositivo). Notablemente, una parte de esta regla debe ser actualizada correspondientemente por el usuario final para excluir todas las cuentas legítimas que ya existen y se usan para actividades administrativas (los marcadores de posición son placeholder_for_legit_account1, placeholder_for_legit_account2, etc).
La regla es compatible con xx soluciones de análisis de seguridad y está mapeada a MITRE ATT&CK abordando las tácticas de Acceso Inicial y Movimiento Lateral con Explotación de Aplicaciones Externas (T1190) y Explotación de Servicios Remotos (T1210) respectivamente.
Para explorar todo el conjunto de detección de vulnerabilidades emergentes y críticas, presiona el botón Explorar Detecciones a continuación. Todas las reglas están acompañadas por un contexto extenso de amenazas cibernéticas y CTI para potenciar la investigación de amenazas.
Análisis de CVE-2023-20198
Cisco emitió recientemente un aviso de seguridad confirmando la explotación activa de una vulnerabilidad de día cero previamente no revelada designada como CVE-2023-20198. Las recomendaciones proporcionadas en el aviso de seguridad correspondiente se alinean con las mejores prácticas establecidas y se adhieren a la directiva de ciberseguridad emitida previamente por el gobierno de EE.UU. para la reducción de riesgos de las interfaces de gestión expuestas a internet.
El nuevo error de seguridad descubierto afecta la función IU web del Software Cisco IOS XE, poseyendo la mayor puntuación CVSS posible de 10.0. La explotación exitosa de la vulnerabilidad de escalada de privilegios permite acceso ilimitado a comandos, lo que conduce a la recarga del sistema y altera sus configuraciones, lo que puede permitir a los atacantes abusar de la cuenta y tomar mayor control del sistema afectado. La unidad Talos de Cisco divulgó que identificaron por primera vez rastros de ataques dirigidos a CVE-2023-20198 el 28 de septiembre, con la actividad correspondiente que data del 18 de septiembre. Este descubrimiento ocurrió como resultado de una investigación sobre actividad anómala en el dispositivo de un cliente.
El 12 de octubre, los investigadores detectaron una serie separada de actividades que comenzó el mismo día y que puede estar vinculada al mismo colectivo de piratería. A diferencia del incidente de septiembre, este último también involucró la implementación de un implante basado en Lua. El implante no es persistente, lo que implica que se eliminará una vez que el dispositivo se reinicie. Sin embargo, las cuentas de usuario locales recientemente establecidas permanecen operacionales incluso después de que el sistema se reinicia. Estas nuevas cuentas de usuario poseen privilegios de nivel 15, otorgándoles acceso completo de administrador al dispositivo.
Los intentos adversarios que conducen a la explotación de CVE-2023-20198 pueden tener éxito cuando el sistema es accesible desde internet o redes no seguras. El error de seguridad revelado impacta las instancias que ejecutan software Cisco IOS XE con la funcionalidad del Servidor HTTP o HTTPS habilitada.
A la vista de la ausencia de cualquier solución, mitigación o medida alternativa disponible para abordar esta vulnerabilidad, Cisco recomienda desactivar la función del Servidor HTTP en los sistemas expuestos a internet para prevenir intrusiones.
VulnCheck realizó escaneos en interfaces web de Cisco IOS XE accesibles públicamente y descubrió miles de hosts comprometidos. Tener acceso elevado a sistemas IOS XE potencialmente permite a los adversarios monitorear el tráfico de la red, infiltrar redes seguras y realizar diversos ataques de intermediario.
Sin datos actuales sobre la lista de instancias afectadas, miles de dispositivos Cisco con IU web expuesta a internet podrían estar potencialmente expuestos a los intentos de explotación de CVE-2023-20198. Mientras el parche aún no ha sido lanzado, las organizaciones buscan protección eficiente contra CVE-2023-20198 para defender su infraestructura contra intrusiones. Confía en Threat Detection Marketplace para acceder al feed global de algoritmos de detección basados en comportamientos y contexto sobre las últimas amenazas, incluidos los días cero para estar siempre a la vanguardia.
