Cisco se ha movido para corregir dos vulnerabilidades, una en vivo y otra en un código que aún no se ha publicado, que afectan a una amplia gama de productos de hardware de redes industriales y empresariales y que, si no se controlan, podrían permitir a los atacantes obtener acceso raíz persistente al sistema subyacente.
Descubiertas por los investigadores de vulnerabilidades de Trellix, Sam Quinn y Kasimir Schulz, las dos vulnerabilidades se encontraron en el enrutador Cisco ISR 4431. Sin embargo, también afectan a todos los enrutadores industriales ISR industriales de la serie 800, módulos de cómputo CGR1000 para servicios de nube empresarial, puertas de enlace de cómputo industrial IC3000, dispositivos basados en IOS XE configurados con IOx, enrutadores industriales WPAN IR510 y puntos de acceso Cisco Catalyst.
El primer y más peligroso problema inmediato ha sido asignado CVE-2023-20076. Es una vulnerabilidad de inyección de comandos remotos en el componente de alojamiento de aplicaciones que permite a los administradores implementar contenedores de aplicaciones o máquinas virtuales en el dispositivo. Surge de la desinfección incorrecta de la opción de ID de cliente DHCP dentro de la configuración de la interfaz, lo que le da al atacante la capacidad de inyectar un comando del sistema operativo de su elección.
La ruta de ataque también pasa por alto las mitigaciones que Cisco tiene implementadas para detener las vulnerabilidades que persisten en un sistema a través de reinicios y actualizaciones de firmware, por lo que si se explota con éxito, un paquete malicioso podría seguir ejecutándose hasta que el dispositivo se restablezca de fábrica o se encuentre y elimine manualmente.
Al segundo problema no se le ha asignado una designación CVE, pero por ahora se está rastreando utilizando el Id. de error de Cisco CSCwc67015. Es una vulnerabilidad de escritura de archivos arbitrarios que podría permitir a un atacante ejecutar código en los dispositivos afectados. Surge en el entorno de alojamiento de aplicaciones a través de una función que permite a los usuarios cargar y ejecutar aplicaciones en contenedores virtuales: cuando se aplica ingeniería inversa a este entorno, los investigadores descubrieron que una aplicación empaquetada maliciosamente podría eludir un control de seguridad vital y, al mismo tiempo, descomprimir la aplicación cargada.
La comprobación de seguridad omitida se diseñó para proteger el sistema frente a CVE-2007-4559, una vulnerabilidad muy antigua en el módulo tarfile de Python que ha sido objeto de mucho trabajo por parte de los equipos de Trellix anteriormente y que no se ha solucionado aquí. El equipo investigó más a fondo y descubrió que, si bien se podía acceder al código desde la aplicación, el dispositivo no podía explotarse porque faltaba un módulo necesario. Quinn y Schulz lo informaron de la misma manera porque otros dispositivos podrían haberse visto afectados y, en última instancia, se descubrió que era explotable en el conjunto de códigos que Cisco implementaría en el futuro. Gracias a la divulgación, este código finalmente se activará con una solución.
Los usuarios deben tener en cuenta que ambos problemas requieren que un atacante se haya autenticado y obtenido privilegios de administrador, por lo que, si bien la gravedad potencial de las vulnerabilidades es un poco más limitada, no es difícil para determinados atacantes obtener credenciales de administrador si, por ejemplo, el inicio de sesión predeterminado las credenciales nunca se han cambiado, a través de un ataque de phishing bastante básico o mediante ingeniería social. De hecho, dijeron Quinn y Schulz, estos errores a menudo son aprovechados por grupos de amenazas persistentes avanzadas (APT) respaldados por estados nacionales.
En su artículo, Quinn y Schulz describieron cómo tales vulnerabilidades en los enrutadores modernos se estaban volviendo de mayor impacto potencial. “A diferencia de los enrutadores del pasado, los enrutadores modernos ahora funcionan como servidores de alta potencia con muchos puertos Ethernet que ejecutan no solo software de enrutamiento sino, en algunos casos, incluso múltiples contenedores”, dijeron. “La complejidad de estos sistemas amplía la superficie de ataque ya madura para los actores de amenazas. Si un atacante pudiera acceder a uno de estos dispositivos y obtener el control total, tendría un punto de apoyo en una red y un poderoso ‘servidor’ bajo su control”.
Ataques peligrosos a la cadena de suministro
Los investigadores también destacaron cuán vulnerables son los dispositivos de red perimetrales a los ataques de la cadena de suministro. “Con las complejidades de las redes empresariales, muchas empresas subcontratan la configuración y el diseño de la red a instaladores de terceros”, explicaron.
“Un mal actor podría usar CVE-2023-20076 para manipular maliciosamente uno de los dispositivos Cisco afectados en cualquier parte de esta cadena de suministro. El nivel de acceso que proporciona CVE-2023-20076 podría permitir la instalación y ocultación de puertas traseras, haciendo que la manipulación sea completamente transparente para el usuario.
“Los consumidores de estos dispositivos de borde deben monitorear de cerca su cadena de suministro y asegurarse de que cualquier revendedor, socio o proveedor de servicios administrados de terceros tenga protocolos de seguridad transparentes”.
Aunque no hay señales de que esto haya sucedido, estos problemas también pueden magnificarse con el tiempo a medida que más dispositivos llegan al mercado con la vulnerabilidad y más usuarios los introducen en sus redes, lo que lleva a una situación similar a la de Log4Shell en la que miles , incluso millones, de organizaciones no saben que están en riesgo.
Si no se reparan, dichas vulnerabilidades también pueden migrar a nuevos entornos a medida que el hardware de la red perimetral se mueve, se introduce en diferentes partes de la red empresarial o se restaura y se revende a nuevos propietarios a través del canal, lo que brinda a los actores de amenazas acceso a nuevas víctimas.
“Las organizaciones con dispositivos afectados deben actualizar el firmware más reciente de inmediato. También es importante verificar si hay contenedores anormales instalados o ejecutándose en su entorno y, si no está utilizando contenedores, deshabilite IOx (marco de contenedores)”, escribieron Quinn y Schulz.
“Cisco fue un socio modelo en este proceso de investigación y divulgación. La colaboración es clave entre proveedores e investigadores para minimizar nuestra superficie de ataque global y permanecer resistente a las amenazas cibernéticas. Queremos agradecerles por su transparencia y rapidez en el abordaje de estas vulnerabilidades”, dijeron.