Cisco solicita parchar peligroso error abierto a ataques remotos a través de anuncios maliciosos

Cisco ha solucionado un error de alta gravedad en la interfaz de usuario basada en web de su software IOS XE. La falla permite que cualquier persona en Internet ingrese en las redes internas sin una contraseña.

Este bug rastreado como CVE-2019-1904, puede ser explotado por un atacante remoto que usa un ataque de falsificación de solicitud entre sitios (CSRF) en los sistemas afectados.

Cisco IOS XE es la versión basada en Linux del sistema operativo de red (IOS) de la empresa, que se utiliza en numerosos enrutadores empresariales y switches Cisco Catalyst. Cisco confirmó que el error no afecta a las variantes de IOS, IOS XR o NX-OS.

«La vulnerabilidad se debe a las insuficientes protecciones de CSRF para la interfaz de usuario web en un dispositivo afectado. Un atacante podría aprovechar esta vulnerabilidad al persuadir a un usuario de la interfaz para que siga un enlace malicioso», explica Cisco.

En un escenario de ataque, un exploit CSRF podría estar oculto dentro de anuncios maliciosos, prestándose a la utilización de armas en un kit de exploit. El atractivo de explotar esta falla es que permitiría a un atacante atacar redes internas o administradores sin activar ninguna alarma.

Un atacante que explota con éxito la falla puede realizar cualquier acción que desee con el mismo nivel de privilegio del usuario afectado.

«Si el usuario tiene privilegios administrativos, el atacante podría alterar la configuración, ejecutar comandos o recargar un dispositivo afectado», advierte Cisco.

La única forma de abordar esta vulnerabilidad es instalar actualizaciones de software que Cisco haya puesto a disposición. Y esas actualizaciones solo están disponibles para clientes con una licencia de Cisco válida.

El error fue descubierto por investigadores de Red Balloon Security, la empresa que descubrió Thangrycat, un error grave que se reveló en mayo y que afectó al módulo Trust Anchor (TAm) de Cisco, un chip de seguridad de hardware patentado presente en el equipo de Cisco desde 2013.

La empresa también encontró un defecto de ejecución remota de código en la interfaz web de IOS XE.

Si bien no hay una solución alternativa para el nuevo error, la desactivación de la función del Servidor HTTP cierra este vector de ataque y «puede ser una mitigación adecuada» hasta que los dispositivos afectados ejecuten una versión fija, según Cisco.

Cisco señala que hay un código de vulnerabilidad de prueba de concepto para esta vulnerabilidad de IOS XE. Sin embargo, agrega que todavía no hay indicios de que el código de explotación esté disponible públicamente.