Vulnerabilidad EXPLOTADA en Cisco

CVE-2024-20439 es una vulnerabilidad crítica de omisión de autenticación en la utilidad de licencias inteligentes de Cisco. Los atacantes explotan esta puerta trasera para obtener acceso administrativo no autorizado a los sistemas vulnerables. La vulnerabilidad afecta a versiones específicas del software independientes de las licencias de gestión por parte de productos Cisco.

¿Cuál es la amenaza?

La falla se origina en una cuenta administrativa estática e indocumentada, codificada en el software afectado, Esta cuenta de BackDoor tiene credenciales fijas y conocidas públicamente (idéntica en todas las instalaciones) estas no se pueden modificar o deshabilitar ni auditar mediante métodos de configuración habituales. Con ello cualquier atacante con acceso de red a una instancia puede explotar la vulnerabilidad obteniendo privilegios administrativos completos.

Una vez autenticado, el atacante obtiene acceso root y puede realizar diversas acciones maliciosas, como modificar la configuración del sistema, manipular datos de licencias, extraer información confidencial, cargar cargas maliciosas y deshabilitar servicios críticos. Dado que es posible ejecutarse en sistemas basados en Linux y suele interactuar con otros servicios de Cisco, los atacantes pueden utilizarlo como punto de apoyo para el movimiento lateral a través de las redes. En algunos casos, se integran pilas de software más amplias, lo que genera que el impacto sea más grande. El exploit es simple y no requiere métodos complejos, solo conocer las credenciales predeterminadas y un sistema expuesto.

Cisco ha informado que el codigo del exploit esta disponible públicamente y que los atacantes utilizan activamente esta vulnerabilidad en ataques reales. Esto aumenta la urgencia, ya que los atacantes buscan instancias expuestas en internet y redes corporativas. Cualquier sistema que ejecute una versión vulnerable, especialmente aquellos con una amplia exposición a la red interna o externa, corre un riesgo significativo. La simplicidad y el amplio alcance del exploit hacen que esta amenaza sea crítica y urgente.

¿Por qué es digno de mención?

Esta vulnerabilidad es especialmente importante porque representa un fallo de diseño crítico y deliberado, que incluye una cuenta administrativa con credenciales inmutables. Las puertas traseras de esta naturaleza son poco frecuentes en el software empresarial moderno y representan una grave vulnerabilidad de seguridad, especialmente en entornos con altos requisitos de seguridad o regulatorios. La explotación activa de esta vulnerabilidad en la práctica aumenta aún más su urgencia.

¿Cuál es el riesgo?

Las organizaciones que ejecutan versiones afectadas se enfrentan a un riesgo significativo de vulnerabilidad. Este riesgo es especialmente alto si la utilidad esta expuesta a internet o es accesible desde redes internas no confiables. La presencia de una cuenta de puerta trasera activa permite a los atacantes eludir todos los mecanismos de autenticación y obtener el control administrativo, poniendo en riesgo datos confidenciales de licencias y potencialmente, sistemas adyacentes. En entornos comprometidos, los atacantes también podrían aprovechar este acceso para realizar movimientos laterales, escalar privilegios o implantar malware persistente. El riesgo aumenta mucho porque los administradores desconocen que la vulnerabilidad se encuentra ejecutando como un servicio independiente.

Recomendaciones

Se recomienda realizar algunas de las siguientes acciones para mitigar el impacto:

• Actualice CSLU para eliminar las credenciales codificadas.
• Identifiqué e inventarié todas las instancias de CSLU en su entorno, incluyendo sistemas independientes o aquellos implementados dentro de la infraestructura general de Cisco.
• Limite la exposición de CSLU colocandolo detrás de firewalls o listas de control de acceso (ACL) para evitar el acceso externo o interno no autorizado.
• Aísle los sistemas que ejecutan CSLU de la infraestructura crítica o entornos sensibles para reducir el radio de acción en caso de explotación.
• Consulte con Cisco o los representantes de su proveedor para revisar las configuraciones generales del producto y asegurarse de que no existan otras cuentas predeterminadas o sin documentar.

Empieza a ahorrar con nuestros servicios de ciberseguridad administrados, contáctanos ahora mismo:

• Sitio web: Cobra Networks proveedor de Ciberseguridad en México para las marcas de Barracuda Networks, Censornet, Untangle
• Teléfono: +52(55)5599-0691
• Correo de contacto: ventas@cobranetworks.lat

JR