A Cisco emitiu um alerta sobre uma nova vulnerabilidade zero-day no IOS XE, que foi explorada ativamente por um ator de ameaças desconhecido para implantar um código malicioso baseado em Lua em dispositivos vulneráveis.

A vulnerabilidade, identificada como CVE-2023-20273, está relacionada a uma falha de escalonamento de privilégios na interface de usuário web e foi usada em conjunto com outra vulnerabilidade, CVE-2023-20198 (CVSS 10.0).

O ator de ameaças explorou inicialmente a CVE-2023-20198 para obter acesso inicial e criar um usuário local e uma combinação de senha, permitindo o login com acesso de usuário normal. Em seguida, o ator explorou outro componente da interface de usuário web para elevar os privilégios para root e escrever o implante no sistema de arquivos.

A Cisco informou que uma correção que abrange ambas as vulnerabilidades será disponibilizada aos clientes a partir de 22 de outubro de 2023.

Enquanto isso, é recomendado desativar o recurso do servidor HTTP. Segundo dados da Censys, mais de 41.000 dispositivos Cisco que executam o software IOS XE vulnerável teriam sido comprometidos. O principal alvo dessa vulnerabilidade não são grandes corporações, mas entidades menores e indivíduos.