La vulnerabilidad permite a los atacantes penetrar el corazón de la infraestructura industrial.
La empresa Cisco ha corregido una vulnerabilidad crítica con el nivel máximo de peligrosidad (10 de 10 según CVSS), que permitía a los atacantes ejecutar comandos con privilegios de root en puntos de acceso vulnerables Ultra-Reliable Wireless Backhaul (URWB), utilizados en redes industriales de automatización.
La vulnerabilidad, identificada como CVE-2024-20418, fue descubierta en la interfaz web de administración del software Cisco Unified Industrial Wireless Software. Los atacantes no autorizados podían explotarla mediante el método de Command Injection, que requiere una preparación mínima y no necesita interacción del usuario.
Cisco explica que el problema se debe a una verificación incorrecta de los datos de entrada en la interfaz web. Para el ataque, bastaba con enviar solicitudes HTTP especialmente formateadas al sistema vulnerable, lo que permitía al atacante ejecutar comandos arbitrarios con privilegios de root en el sistema operativo del dispositivo.
La vulnerabilidad afecta a los modelos Cisco Catalyst IW9165D Heavy Duty Access Points, Catalyst IW9165E Rugged Access Points and Wireless Clients, y Catalyst IW9167E Heavy Duty Access Points, pero solo cuando el modo URWB está activado y en la versión de software vulnerable.
Los especialistas del equipo Cisco PSIRT informan que no hay evidencia, por el momento, de la existencia de exploits para esta vulnerabilidad en acceso público ni de su uso en ataques reales.
Los administradores pueden determinar si el modo URWB está activado utilizando el comando "show mpls-config" en la interfaz CLI. Si el comando no está disponible, significa que el modo URWB está desactivado y la vulnerabilidad no afecta al dispositivo.
Anteriormente, Cisco corrigió una vulnerabilidad de denegación de servicio en el software Cisco Adaptive Security Appliance (ASA) y Firepower Threat Defense (FTD), que estaba siendo explotada activamente en ataques a dispositivos VPN.
En junio, la empresa también lanzó una actualización de seguridad que corregía otra vulnerabilidad de inyección de comandos, que permitía a los atacantes elevar sus privilegios al nivel de root.
En julio, durante la conferencia RSA, Jen Easterly, directora de la Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA), instó a los desarrolladores a verificar minuciosamente el código en busca de posibles vulnerabilidades desde la fase de desarrollo. Según ella, un código confiable es la única forma de erradicar los ciberataques.