Cisco ha emitido una alerta a sus clientes para que instalen las actualizaciones de seguridad necesarias y aborden una vulnerabilidad de día cero que se encuentra siendo explotada activamente, identificada como CVE-2023-20109 (CVS 6.6), localizada en el software IOS e IOS XE.
La vulnerabilidad se ubica en la funcionalidad de VPN de Transporte Cifrado de Grupo (GET VPN) tanto en IOS como en IOS XE. Esta vulnerabilidad permite a un atacante remoto, con las credenciales adecuadas y control administrativo sobre un miembro del grupo o servidor de claves, ejecutar código arbitrario en el sistema afectado. Este riesgo sólo puede ser explotado si el atacante posee credenciales válidas y tiene control administrativo sobre un elemento crucial en la red.
Según un aviso publicado: "Una vulnerabilidad en la función Cisco Group Encrypted Transport VPN (GET VPN) de los software Cisco IOS y Cisco IOS XE podría permitir que un atacante remoto autenticado, que tenga control administrativo de un miembro del grupo o de un servidor de claves, ejecute código arbitrario en un dispositivo afectado o cause que el dispositivo se bloquee". La vulnerabilidad surge a partir de una validación inadecuada de los atributos en el Dominio de Interpretación del Grupo (GDOI) y los protocolos G-IKEv2 de la función GET VPN. Un atacante podría explotar esta falencia comprometiendo un servidor de claves existente o alterando la configuración de un miembro del grupo para que se conecte a un servidor de claves bajo control del atacante. Un exploit exitoso permitiría al atacante ejecutar código arbitrario, obteniendo control total del sistema afectado o causando que el sistema se reinicie, desencadenando una condición de Denegación de Servicio (DoS).
La vulnerabilidad afecta a aquellos productos que operan con una versión susceptible del software Cisco IOS o Cisco IOS XE y que tienen activados los protocolos GDOI o G-IKEv2.
Te podría interesar leer sobre: Entendiendo y Mitigando Ataques DDoS
Comunicado de CISCO
El comunicado de Cisco detalla: "Cisco descubrió un intento de explotación de la función GET VPN y llevó a cabo una revisión técnica del código de la función. Esta vulnerabilidad fue descubierta durante nuestra investigación interna". La empresa sigue insistiendo en la importancia de que los clientes actualicen a una versión de software corregida para remediar esta vulnerabilidad.
Esta vulnerabilidad fue desentrañada por XB del Grupo de Iniciativas de Seguridad Avanzada de Cisco (ASIG) durante una indagación interna.
La firma reitera su llamado a los clientes para que actualicen a una versión de software reparada con el fin de resolver esta vulnerabilidad, indicando que no existen soluciones alternativas para mitigar este problema.
Finalmente, Cisco confirmó que esta vulnerabilidad NO afecta a los siguientes productos:
- Software IOS XR
- Productos Meraki
- Software NX-OS
Es esencial que los directores, gerentes de IT y CTOs tomen conciencia de la gravedad de esta vulnerabilidad y actúen de manera proactiva para garantizar la seguridad de sus redes y sistemas, implementando las actualizaciones de seguridad proporcionadas por Cisco. En el entorno digital actual, la anticipación y la acción rápida ante tales amenazas son imperativas para mantener una infraestructura de TI robusta y segura.