Campaña para explotar vulnerabilidad CVE-2023-20198 Cisco Web UI Privilege Escalation

Cisco tiene conocimiento de la explotación activa de una vulnerabilidad previamente desconocida en la función de interfaz de usuario web del software Cisco IOS XE cuando se expone a Internet o a redes que no son de confianza. Esta vulnerabilidad permite a un atacante remoto no autenticado crear una cuenta en un sistema afectado con acceso de nivel de privilegio 15. Luego, el atacante puede usar esa cuenta para hacerse con el control del sistema afectado.

La interfaz de usuario web es una herramienta de administración del sistema basada en GUI incorporada que brinda la capacidad de aprovisionar el sistema, simplificar la implementación y la capacidad de administración del sistema y mejorar la experiencia del usuario. Viene con la imagen predeterminada, por lo que no es necesario habilitar nada ni instalar ninguna licencia en el sistema. La interfaz de usuario web se puede utilizar para crear configuraciones, así como para monitorear y solucionar problemas del sistema sin experiencia en CLI.

La interfaz de usuario web y los servicios de administración no deben estar expuestos a Internet ni a redes que no sean de confianza.

Determinar la configuración del servidor HTTP
El siguiente ejemplo muestra el resultado de show running-config | include ip http server|secure|active
para un sistema que tenga habilitada la función de servidor HTTP:
Router# show running-config | include ip http server|secure|active
ip http server
ip http secure-server
Nota: La presencia de uno o ambos comandos en la configuración del sistema indica que la función de interfaz de usuario web está habilitada.
Si el comando ip http server está presente y la configuración también contiene ip http active-sessionmodules none, la vulnerabilidad no se puede explotar a través de HTTP.
Si el comando ip http Secure-Server está presente y la configuración también contiene ip http Secureactive-session-modules none, la vulnerabilidad no se puede explotar a través de HTTPS.
 

Versiones Afectadas

Esta vulnerabilidad afecta al software Cisco IOS XE si la función de interfaz de usuario web está habilitada. 
La función de interfaz de usuario web se habilita a través de los comandos ip http server o ip http Secure-server.

Recomendaciones

Cisco recomienda encarecidamente que los clientes desactiven la función del servidor HTTP en todos los sistemas con acceso a Internet. Para deshabilitar la función del servidor HTTP, use el comando no ip http server o no ip http Secure-server en el modo de configuración global.

Si se utilizan tanto el servidor HTTP como el servidor HTTPS, se requieren ambos comandos para desactivar la función del servidor HTTP.
 

Referencias

• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webuiprivesc-j22SaA4z
 

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios