Introducción
Rockwell Automation ha notificado una vulnerabilidad de severidad crítica que podría permitir a un atacante no autenticado obtener el control del sistema.[1]
Análisis
Rockwell Automation ha informado de la explotación activa de una vulnerabilidad en la función de interfaz de usuario web del software Cisco IOS XE cuando se expone a Internet o a redes no confiables. Esta vulnerabilidad permite que un atacante remoto y no autenticado cree una cuenta en un sistema vulnerable con acceso de nivel de privilegio 15. El atacante podría entonces utilizar esa cuenta para obtener acceso a un sistema vulnerable y, por lo tanto, obtener el control del sistema afectado.
- CVE-2023-20198: Un atacante remoto no autenticado podría obtener el control del sistema.
Productos afectados:
Las versiones afectadas de productos Stratix y su software Cisco IOS son las siguientes:
- Stratix 5800 (Con el software Cisco IOS XE ejecutándose y con la Web UI activada): Todas las versiones.
- Stratix 5200 (Con el software Cisco IOS XE ejecutándose y con la Web UI activada): Todas las versiones.
Recomendaciones
Rockwell Automation recomienda encarecidamente a los usuarios que sigan las directrices para deshabilitar los servidores Stratix HTTP en todos los sistemas con acceso a Internet.
- Para desactivar la función Servidor HTTP, utilice el comando no ip http server o no ip http secure-server en el modo de configuración global. Si se están utilizando tanto el servidor HTTP como el servidor HTTPS, se necesitan ambos comandos para desactivar la función Servidor HTTP.
- Al implementar controles de acceso para estos servicios, asegúrese de revisar los controles porque existe la posibilidad de una interrupción en los servicios de producción.
- Cisco Talos ha proporcionado Indicadores de Compromiso y reglas de Snort que se pueden encontrar en el enlace adjunto.[2]
Referencias
[1] CISA- Rockwell Automation[2] Active exploitation of Cisco IOS XE Software Web Management User Interface vulnerabilities