# CVE-2018-0150 > [!critical] Conta Backdoor Hardcoded no Cisco IOS XE - CVSS 9.8 > CVE-2018-0150 é uma vulnerabilidade crítica no Cisco IOS XE causada por uma conta de usuário com credenciais hardcoded (backdoor). Um atacante remoto não autenticado pode usar essas credenciais para fazer login com privilégios de nível 15 (máximo) e assumir controle total do equipamento. ## Visão Geral CVE-2018-0150 afeta o **Cisco IOS XE**, sistema operacional utilizado em roteadores e switches Cisco de nível empresarial. A vulnerabilidade decorre da presença de uma conta de usuário com senha fixa e imutável embutida no código-fonte do sistema. Um atacante que conhece as credenciais hardcoded pode autenticar remotamente via Telnet ou SSH e obter acesso de nível 15 - o máximo permitido no IOS XE, equivalente a acesso root. A Cisco divulgou a falha em março de 2018 como parte do Patch Tuesday, identificando que a conta estava presente por erro de desenvolvimento (provavelmente para testes). O impacto é catastrófico: controle total de equipamentos de rede críticos, incluindo capacidade de modificar configurações de roteamento, interceptar tráfego e desabilitar controles de segurança. Equipamentos de rede comprometidos via credenciais hardcoded são especialmente difíceis de detectar pois o acesso legítimo não gera alertas, e o atacante pode modificar logs localmente. > [!latam] Relevância para Brasil e LATAM > Cisco IOS XE é o sistema operacional predominante em roteadores e switches de grandes corporações e ISPs brasileiros. A presença de credenciais hardcoded em equipamentos de core de rede representa risco de interceptação de tráfego em escala, comprometimento de BGP e sabotagem de infraestrutura crítica de telecomúnicações no Brasil e na região. ## Detalhes Técnicos | Campo | Detalhe | |-------|---------| | Tipo | Hardcoded Credentials / Backdoor Account | | Produto | Cisco IOS XE | | Acesso | Nível 15 (máximo no IOS) | | Vetor | Telnet/SSH remoto | | Autenticação | Não necessária (credenciais fixas) | | CVSS | 9.8 (Critical) | | CISA KEV | Sim | ## TTPs Relacionadas - [[t1078-valid-accounts|T1078 - Valid Accounts]] - [[t1040-network-sniffing|T1040 - Network Sniffing]] - [[t1557-adversary-in-the-middle|T1557 - Adversary-in-the-Middle]] - [[t1562-001-disable-or-modify-tools|T1562 - Impair Defenses]] ## Mitigação - Atualizar Cisco IOS XE para versão sem a conta hardcoded (17.3.1a ou superior para versões afetadas) - Verificar dispositivos afetados com `show running-config | include username` para identificar contas suspeitas - Bloquear acesso SSH/Telnet de administração via ACL de gerência restrita - Implementar [[m1026-privileged-account-management|M1026 - Privileged Account Management]] e [[m1035-limit-access-to-resource-over-network|M1035 - Limit Access to Resource Over Network]] - Utilizar [[m1027-password-policies|M1027 - Password Policies]] e auditar todas as contas locais em equipamentos de rede ## Referências - [Cisco Security Advisory cisco-sa-20180328-xepass](https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-xepass) - [CISA KEV - CVE-2018-0150](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [NVD - CVE-2018-0150](https://nvd.nist.gov/vuln/detail/CVE-2018-0150)