Cisco IOS XE əməliyyat sistemini işlədən Cisco fiziki və virtual cihazlarında istifadə edilən veb interfeysində kritik bir boşluq (CVE-2023-20198) müəyyən edilib. Bu boşluq, təsdiqlənməmiş hücumçulara veb interfeysinin istifadə etdiyi şəbəkə portuna giriş imkanı olduqda, maksimum imtiyazlar ilə sistemə tam giriş əldə etməyə imkan verir. Bu problemin ciddiliyi, hücumçuların bir aydır ki, administrator imtiyazları olan əlavə "cisco_tac_admin" və "cisco_support" hesabları yaratmaq və əmrləri yerinə yetirmək üçün uzaqdan giriş təmin edən cihazlara avtomatik olaraq implant yerləşdirmək üçün bu yamaqlanmamış boşluqdan istifadə etmələri ilə daha da artır.
Kifayət qədər təhlükəsizliyi təmin etmək üçün veb interfeysinə girişi seçilmiş hostlar və ya yerli şəbəkələrlə məhdudlaşdırmaq tövsiyə olunsa da, bir çox administrator qlobal şəbəkədən bağlantılara da icazə verir. Şodanın sözlərinə görə, hazırda qlobal şəbəkədə 140-dən çox potensial həssas cihaz aşkarlanıb. CERT artıq zərərli implant quraşdırılmış təxminən 35 uğurla hücuma məruz qalan Cisco cihazını müəyyən edib.
Zəifliyi aradan qaldırmaq üçün yamaq dərc olunana qədər, konsoldakı "no ip http server" və "no ip http secure-server" əmrlərindən istifadə edərək cihazdakı HTTP və HTTPS serverini deaktiv etməyi və ya firewall-dakı veb interfeysə girişi məhdudlaşdırmağı tövsiyə edirik. Zərərli implantın mövcudluğunu yoxlamaq üçün aşağıdakı sorğunu işə salmağı tövsiyə edirik: curl -X POST http://device-IP/webui/logoutconfirm.html?logon_hash=1, pozulduqda 18 simvollu heş qaytaracaq. Həmçinin cihaz jurnalını icazəsiz bağlantılar və ya əlavə fayl quraşdırmaları üçün təhlil edə bilərsiniz. %SYS-5-CONFIG_P: Konsoldan SEP_webui_wsma_http prosesi tərəfindən sətirdə istifadəçi kimi proqramlaşdırılmış şəkildə konfiqurasiya edildi %SEC_LOGIN-5-WEBLOGIN_SUCCESS: Giriş Uğurlu [istifadəçi: istifadəçi] [Mənbə: source_IP_address] 05:41:11 UTC Çərşənbə, 17 Oktyabr 2023 %WEBUI-6-INSTALL_OPERATION_INFO: İstifadəçi: istifadəçi adı, Quraşdırma Əməliyyatı: Fayl Add
Əgər təhlükə altına düşərsə, implantı silmək üçün cihazı sadəcə yenidən başlatmaq kifayətdir. Təcavüzkar tərəfindən yaradılan hesablar yenidən başlatdıqdan sonra da qalır və əl ilə silinməlidir. İmplant /usr/binos/conf/nginx-conf/cisco_service.conf faylında yerləşir və xüsusi parametrlər dəsti ilə HTTP sorğusuna cavab olaraq sistem səviyyəsində və ya Cisco IOS XE əmr interfeysində ixtiyari əmrlərin yerinə yetirilməsinə imkan verən 29 sətir Lua kodunu ehtiva edir.
Mənbə: opennet.ru
