El investigador de seguridad Aaron Thacker en realidad solo quería construir un servidor a partir de un dispositivo Cisco. Descubrió una vulnerabilidad en la interfaz de administración basada en web de Cisco Integrated Management Controller. Luego instaló Doom y lo jugó como demostración en la consola de administración.
El investigador de seguridad Aaron Thacker solo logró piratear un dispositivo de seguridad de correo electrónico Cisco C195, pero la vulnerabilidad afecta a una amplia gama de dispositivos Cisco. Thacker solo quería construir un servidor a partir del dispositivo y descubrió la vulnerabilidad durante la conversión.. Luego inició una cadena de ataques:
- Cambió el BIOS para que CIMC fuera accesible a la red.
- Luego atacó el sistema de gestión CIMC a través de la red para obtener acceso raíz a un componente crítico del sistema a través de una vulnerabilidad de ejecución remota de comandos (CVE-2024-20356).
- Finalmente, la cadena de inicio seguro podría verse comprometida al cambiar el PID del dispositivo para permitir el uso de otras claves de inicio seguro.
Vulnerabilidad explotada: instalé y jugué Doom
🔎 El investigador de seguridad Aaron Thacker descifró el dispositivo Cisco e instaló Doom en la consola de administración como demostración (Imagen: Aaron Thacker, Doom Copyrights de ID Software)
Por supuesto, el investigador había informado a Cisco con antelación y había fijado la fecha de publicación correspondiente. Cisco aprovechó el tiempo y proporcionó las actualizaciones adecuadas para toda la línea de productos. En una declaración de seguridad, Cisco enumera todos los dispositivos afectados por la vulnerabilidad. Tiene un valor CVSS de 8.7 sobre 10 y, por tanto, se considera muy peligroso.
Cisco llama a la vulnerabilidad "Vulnerabilidad de inyección de comandos en la interfaz de administración basada en web de Cisco Integrated Management Controller (IMC)". Una vulnerabilidad en la interfaz de administración basada en web de Cisco Integrated Management Controller (IMC) podría permitir que un atacante remoto autenticado con privilegios administrativos para realizar ataques de inyección de comandos en un sistema afectado y aumentar sus derechos a privilegios de root.
Esta vulnerabilidad se debe a una validación insuficiente de la entrada del usuario. Un atacante podría aprovechar esta vulnerabilidad enviando comandos manipulados a la interfaz de administración basada en web del software afectado. Un exploit exitoso podría permitir al atacante elevar sus privilegios a root.
Cisco proporciona actualizaciones
Cisco proporciona instrucciones y actualizaciones para la vulnerabilidad con el identificador CVE CVE-2024-20356 en su sitio web. Dado que la vulnerabilidad se considera altamente peligrosa, Cisco recomienda una actualización inmediata.
Más en Cisco.com
Acerca de Cisco Cisco es la compañía de tecnología líder en el mundo que hace posible Internet. Cisco está abriendo nuevas posibilidades para las aplicaciones, la seguridad de los datos, la transformación de la infraestructura y el empoderamiento de los equipos para un futuro global e inclusivo.