في تنفيذ واجهة الويب المستخدمة على أجهزة Cisco الفعلية والافتراضية المجهزة بنظام التشغيل Cisco IOS XE، تم تحديد ثغرة أمنية حرجة (CVE-2023-20198)، والتي تسمح، دون مصادقة، بالوصول الكامل إلى النظام باستخدام الحد الأقصى لمستوى الامتيازات، إذا كان لديك إمكانية الوصول إلى منفذ الشبكة الذي تعمل من خلاله واجهة الويب. ويتفاقم خطر المشكلة بسبب حقيقة أن المهاجمين كانوا يستخدمون الثغرة الأمنية غير المصححة لمدة شهر لإنشاء حسابات إضافية "cisco_tac_admin" و"cisco_support" تتمتع بحقوق المسؤول، ولوضع عملية زرع تلقائيًا على الأجهزة التي توفر الوصول عن بعد للتنفيذ الأوامر الموجودة على الجهاز .
على الرغم من حقيقة أنه لضمان المستوى المناسب من الأمان، فمن المستحسن فتح الوصول إلى واجهة الويب فقط للمضيفين المحددين أو الشبكة المحلية، ويترك العديد من المسؤولين خيار الاتصال من الشبكة العالمية. على وجه الخصوص، وفقًا لخدمة Shodan، يوجد حاليًا أكثر من 140 ألف جهاز يحتمل أن تكون معرضة للخطر مسجلة على الشبكة العالمية. سجلت منظمة CERT بالفعل حوالي 35 ألف هجوم ناجح على أجهزة Cisco مع تثبيت برنامج ضار.
قبل نشر إصلاح يزيل الثغرة الأمنية، كحل بديل لمنع المشكلة، يوصى بتعطيل خادم HTTP وHTTPS على الجهاز باستخدام الأمرين "no ip http server" و"no ip http Secure-server" في وحدة التحكم، أو تقييد الوصول إلى واجهة الويب على جدار الحماية. للتحقق من وجود برنامج ضار مزروع، يوصى بتنفيذ الطلب: curl -X POST http://IP-devices/webui/logoutconfirm.html?logon_hash=1 والذي، في حالة اختراقه، سيرجع 18 حرفًا التجزئة. يمكنك أيضًا تحليل السجل الموجود على الجهاز بحثًا عن اتصالات وعمليات خارجية لتثبيت ملفات إضافية. %SYS-5-CONFIG_P: تم تكوينه برمجيًا من خلال العملية SEP_webui_wsma_http من وحدة التحكم كمستخدم على السطر %SEC_LOGIN-5-WEBLOGIN_SUCCESS: نجاح تسجيل الدخول [المستخدم: المستخدم] [المصدر: source_IP_address] الساعة 05:41:11 بالتوقيت العالمي المنسق الأربعاء 17 أكتوبر 2023 %WEBUI -6-INSTALL_OPERATION_INFO: المستخدم: اسم المستخدم، عملية التثبيت: إضافة اسم الملف
في حالة حدوث تسوية، لإزالة الغرسة، ما عليك سوى إعادة تشغيل الجهاز. يتم الاحتفاظ بالحسابات التي أنشأها المهاجم بعد إعادة التشغيل ويجب حذفها يدويًا. توجد عملية الزرع في الملف /usr/binos/conf/nginx-conf/cisco_service.conf وتتضمن 29 سطرًا من التعليمات البرمجية بلغة Lua، مما يوفر تنفيذ أوامر عشوائية على مستوى النظام أو واجهة أوامر Cisco IOS XE استجابةً إلى طلب HTTP مع مجموعة خاصة من المعلمات.
المصدر: opennet.ru