Foi identificada recentemente uma vulnerabilidade zero-day (CVE-2023-20198) que está sendo ativamente explorada por cibercriminosos. Mais de 10.000 dispositivos foram comprometidos, afetando uma ampla variedade de produtos, incluindo switches, roteadores, endpoints, controladores wireless, entre outros, todos rodando o software Cisco IOS XE.
De acordo com a VulnCheck, a vulnerabilidade atinge seu nível máximo de severidade quando explorada em sistemas Cisco IOS XE que possuem a funcionalidade de Interface de Usuário Web (Web UI) ativada, juntamente com o servidor HTTP ou HTTPS habilitado.
Jacob Baines, CTO da VulnCheck, ressalta a gravidade da situação:
A Cisco deixou passar despercebido o fato de que milhares de sistemas IOS XE estão expostos na internet. Isso é preocupante, pois o acesso privilegiado provavelmente permite que os atacantes monitorem o tráfego de rede, acessem redes protegidas e executem diversos tipos de ataques do tipo 'man-in-the-middle'.
Uma pesquisa por dispositivos Cisco com sua interface de usuário da Web habilitada mostra atualmente mais de 140.000 dispositivos expostos à Internet. No Brasil são mais de 3.500.
A Cisco detectou atividades relacionadas à CVE-2023-20198 em setembro, após relatos de comportamento incomum em um dispositivo do cliente. Evidências desses ataques datam de 18 de setembro, quando os invasores foram observados criando contas de usuário locais com os nomes "cisco_tac_admin".
Em um segundo cluster de atividades correlacionadas, identificado em 12 de outubro de 2023, um usuário não autorizado criou uma conta de usuário local com o nome "cisco_support" a partir de um endereço IP diferente.
Isso foi seguido por uma série de ações que culminaram na implementação de um malware que permite ao cibercriminoso executar comandos arbitrários no sistema ou no IOS.
A instalação do malware é realizada através da exploração da CVE-2021-1435, uma falha agora corrigida que impactou a interface web do Cisco IOS XE Software, além de um mecanismo ainda não determinado em casos em que o sistema está totalmente corrigido contra a CVE-2021-1435.
Ações Imediatas Recomendadas
Verifique se seus sistemas IOS XE foram comprometidos.
Desabilite a interface web e remova todas as interfaces de gerenciamento da internet.
Mantenha-se atento a contas de usuário suspeitas ou recentemente criadas.
A Cisco, em uma declaração oficial, reforça o compromisso com a transparência e a segurança de seus clientes:
A Cisco está comprometida com a transparência. Quando surgem problemas críticos de segurança, os tratamos como uma questão de máxima prioridade, para que nossos clientes compreendam os problemas e saibam como resolvê-los. Em 16 de outubro, a Cisco publicou um aviso de segurança revelando uma vulnerabilidade previamente desconhecida na funcionalidade de Interface de Usuário Web (Web UI) do Cisco IOS XE Software quando exposta à internet ou a redes não confiáveis. Estamos trabalhando incessantemente para fornecer uma correção de software e instamos fortemente os clientes a tomarem medidas imediatas conforme indicado no aviso de segurança. Cisco fornecerá uma atualização sobre o status de nossa investigação por meio do aviso de segurança.
Na International IT, estamos comprometidos em oferecer soluções e serviços de cibersegurança confiáveis e eficientes para proteger o seu negócio contra as ameaças do mundo digital em constante evolução. Conte conosco para oferecer a tranquilidade e o suporte necessários para que você possa se concentrar no que faz de melhor: impulsionar o sucesso do seu negócio.
Entre em contato conosco e descubra como podemos ajudá-lo a proteger o seu negócio!
Transforme seu Negócio com Tecnologia de Ponta: Agende sua Tech Demo!
Comments