A Cisco emitiu um alerta sobre uma vulnerabilidade crítica e não corrigida que afeta o software IOS XE e que está sendo ativamente explorada.

A falha está relacionada ao recurso de interface web e é identificada como CVE-2023-20198, com uma pontuação máxima de 10.0 no sistema de pontuação CVSS.

A vulnerabilidade afeta apenas equipamentos de rede empresarial que possuem o recurso Web UI ativado e que estão expostos à internet ou a redes não confiáveis. Um atacante remoto e não autenticado pode criar uma conta com nível de privilégio 15 no sistema afetado e, em seguida, usar essa conta para assumir o controle do sistema.

O problema impacta dispositivos físicos e virtuais que executam o software Cisco IOS XE e que também têm o recurso de servidor HTTP ou HTTPS ativado. Como mitigação, recomenda-se desativar o recurso de servidor HTTP em sistemas voltados para a internet.

A Cisco descobriu o problema após detectar atividades maliciosas em um dispositivo de cliente não identificado. Um usuário autorizado criou uma conta de usuário local sob o nome “cisco_tac_admin” a partir de um endereço IP suspeito.

Em um segundo conjunto de atividades relacionadas, um usuário não autorizado criou uma conta de usuário local sob o nome “cisco_support” a partir de um endereço IP diferente. O atacante implantou um backdoor baseado em Lua que permite a execução de comandos arbitrários no sistema ou no nível do IOS.