Introducció
Rockwell Automation ha notificat una vulnerabilitat de severitat crítica que podria permetre a un atacant no autenticat obtenir el control del sistema.[1]
Anàlisi
Rockwell Automation ha informat de l’explotació activa d’una vulnerabilitat a la funció d’interfaz d’usuari web del software Cisco IOS XE quan s’exposa a Internet o a xarxes no fiables. Aquesta vulnerabilitat permet que un atacant remot i no autenticat creï un compte en un sistema vulnerable amb accés de nivell de privilegi 15. L’atacant podria llavors utilitzar aquest compte per obtenir accés a un sistema vulnerable i, per tant, obtenir el control del sistema afectat.
- CVE-2023-20198: Un atacant remot no autenticat podria obtenir el control del sistema.
Productes afectats:
Les versions afectades de productes Stratix i el software Cisco IOS són les següents:
- Stratix 5800 (Amb el software Cisco IOS XE executant-se i amb la Web UI activada): Totes les versions.
- Stratix 5200 (Amb el software Cisco IOS XE executant-se i amb la Web UI activada): Totes les versions.
Recomanacions
Rockwell Automation recomana encaridament als usuaris que segueixin les directrius per deshabilitar els servidors Stratix HTTP a tots els sistemes amb accés a Internet.
- Per desactivar la funció Servidor HTTP, utilitzeu l’ordre no ip http server o ip http secure-server en el mode de configuració global. Si utilitzeu tant el servidor HTTP com el servidor HTTPS, es necessiten les dues ordres per desactivar la funció Servidor HTTP.
- En implementar controls d’accés per a aquests serveis, assegureu-vos de revisar els controls perquè hi ha la possibilitat d’una interrupció als serveis de producció.
- Cisco Talos ha proporcionat Indicadors de Compromís i regles de Snort que es poden trobar a l’enllaç adjunt.[2]
Referencias
[1] CISA- Rockwell Automation[2] Active exploitation of Cisco IOS XE Software Web Management User Interface vulnerabilities