[Actualización 22/11/2023] Escalada de privilegios en Rockwell Automation Stratix
Fecha de publicación 26/10/2023
Importancia
4 - Alta
Recursos Afectados
Todas las versiones de los productos (ejecutando el software Cisco IOS XE con la función Web UI activada):
- Stratix 5800;
- Stratix 5200.
Descripción
Rockwell Automation ha notificado una vulnerabilidad crítica que afecta a su producto Stratix, cuya explotación podría permitir a un atacante, no autenticado, tomar el control del sistema afectado.
Solución
- Desactivar la función ‘HTTP Server’, mediante el comando ‘no ip http server’ o ‘no ip http secure-server’ en el modo de configuración global. Si se están utilizando, tanto el servidor HTTP como el servidor HTTPS, se necesitan ambos comandos para desactivar la función ‘HTTP Server’.
- Revisar los controles de acceso para esos servicios.
- Comprobar los IoC y reglas de Snort proporcionadas por Cisco Talos.
- [Actualización 22/11/2023] Access Control Lists (requiere login) debe activarse para permitir que sólo determinadas direcciones IP accedan a la interfaz web del dispositivo.
Detalle
El fabricante tiene conocimiento de la explotación activa de una vulnerabilidad en la función de interfaz de usuario web del software Cisco IOS XE cuando se expone a Internet o a redes no confiables. Esta vulnerabilidad podría permitir a un atacante, remoto y no autenticado, crear una cuenta en un sistema vulnerable con acceso de nivel de privilegio 15. Se ha asignado el identificador CVE-2023-20198 para esta vulnerabilidad.
[Actualización 22/11/2023] El fabricante tiene conocimiento de la explotación activa de una vulnerabilidad en la función Web UI del software Cisco IOS XE cuando se expone a Internet o a redes no confiables. Esta vulnerabilidad podría permitir a un atacante remoto autenticado inyectar comandos con los privilegios de root, y se debe a una validación de entrada insuficiente. Un atacante podría aprovecharse de esta vulnerabilidad enviando entradas falsificadas a la interfaz de usuario web. Una explotación exitosa podría permitir al atacante inyectar comandos al sistema operativo subyacente con privilegios de root. Se ha asignado el identificador CVE-2023-20273 para esta vulnerabilidad.
Listado de referencias
