Cisco alerta para zero-day no IOS XE Web UI

A Cisco colocou administradores de rede em alerta ao publicar um advisory crítico sobre exploração ativa no Web UI do IOS XE. A vulnerabilidade CVE-2023-20198 afeta sistemas com o recurso de servidor HTTP ou HTTPS habilitado e permite que um atacante remoto não autenticado crie uma conta local com privilégio elevado.¹

O risco é direto: equipamentos de rede costumam ocupar posições privilegiadas na arquitetura, roteando tráfego, conectando filiais, controlando redes sem fio ou sustentando segmentos sensíveis. Quando a interface de administração fica acessível pela internet ou por redes não confiáveis, uma falha de autenticação deixa de ser problema de appliance e passa a ser incidente de infraestrutura.

Web UI exposta vira superfície crítica

O Web UI do IOS XE existe para facilitar provisionamento, monitoramento e troubleshooting sem depender apenas da linha de comando. Esse tipo de conveniência tem valor operacional, especialmente em equipes grandes ou ambientes distribuídos. O problema aparece quando a interface de gestão cruza a fronteira entre rede administrativa e exposição ampla.

Segundo a Cisco, a presença de ip http server ou ip http secure-server na configuração global indica que o recurso está habilitado. Para checar exposição, administradores devem consultar a configuração ativa, revisar ACLs e confirmar se o acesso está limitado a origens confiáveis. Não basta assumir que a interface "não é usada"; em rede, recurso habilitado também é superfície de ataque.

O advisory informa que não há workaround que corrija a vulnerabilidade. A medida recomendada para eliminar o vetor é desabilitar o servidor HTTP e HTTPS quando ele não for necessário. Quando o recurso precisa continuar ativo, restringir acesso por lista de controle e por rede administrativa reduz o alcance do problema, embora a mudança precise considerar impacto em serviços que dependem da interface.

Resposta precisa ser operacional, não apenas técnica

O primeiro trabalho é inventário. Times de rede precisam localizar dispositivos IOS XE, identificar versões, verificar se o Web UI está habilitado e separar equipamentos expostos de equipamentos acessíveis apenas por redes confiáveis. Essa lista deve orientar contenção, monitoramento e janela de manutenção.

O segundo passo é caçar sinais de comprometimento. A Cisco indica mensagens de log relacionadas a configurações feitas pelo processo do Web UI e logins bem-sucedidos por usuários desconhecidos. Em muitos ambientes, logs de dispositivos de rede não recebem a mesma atenção que logs de servidores e endpoints. Este alerta mostra por que essa assimetria é perigosa.

Também é prudente revisar contas locais, chaves, SNMP, integrações de automação e qualquer mudança recente de configuração. Um atacante com privilégio administrativo em roteador, switch ou controlador pode criar persistência, alterar rotas, abrir caminhos laterais ou degradar controles de segmentação.

Gestão de rede entra no radar de segurança

CVE-2023-20198 reforça uma regra simples: interfaces de gestão não devem ficar expostas a redes amplas. VPN, bastion hosts, segmentação administrativa, ACLs explícitas e autenticação centralizada não são extras; são controles básicos para equipamentos que sustentam o restante da operação.

O alerta também pressiona governança de configuração. Em ambientes com muitos dispositivos, uma exceção esquecida pode permanecer ativa por anos. A resposta adequada combina comando de verificação, automação de inventário, telemetria de configuração e processo de mudança. A falha é do Web UI, mas o incidente será definido pela rapidez com que cada organização sabe onde está exposta.