U implementaciji web interfejsa koji se koristi na fizičkim i virtuelnim Cisco uređajima opremljenim operativnim sistemom Cisco IOS XE, identifikovana je kritična ranjivost (CVE-2023-20198) koja omogućava, bez autentifikacije, potpun pristup sistemu sa maksimalni nivo privilegija, ako imate pristup mrežnom portu preko kojeg radi web interfejs. Opasnost od problema pogoršava činjenica da napadači mjesec dana koriste nezakrpljenu ranjivost za kreiranje dodatnih naloga “cisco_tac_admin” i “cisco_support” s administratorskim pravima, te za automatsko postavljanje implantata na uređaje koji omogućava daljinski pristup za izvršavanje komande na uređaju.
Unatoč činjenici da se za osiguravanje odgovarajućeg nivoa sigurnosti preporučuje otvaranje pristupa web sučelju samo odabranim hostovima ili lokalnoj mreži, mnogi administratori ostavljaju mogućnost povezivanja sa globalne mreže. Konkretno, prema Shodan servisu, trenutno je na globalnoj mreži evidentirano više od 140 hiljada potencijalno ranjivih uređaja. Organizacija CERT već je zabilježila oko 35 hiljada uspješno napadnutih Cisco uređaja sa instaliranim zlonamjernim implantom.
Prije objavljivanja popravka koji eliminira ranjivost, kao rješenje za blokiranje problema, preporučuje se da onemogućite HTTP i HTTPS server na uređaju pomoću naredbi “no ip http server” i “no ip http secure-server” u konzole ili ograničiti pristup web interfejsu na firewall-u. Da biste provjerili prisustvo zlonamjernog implanta, preporučuje se da izvršite zahtjev: curl -X POST http://IP-devices/webui/logoutconfirm.html?logon_hash=1 koji će, ako je kompromitovan, vratiti 18 znakova hash. Također možete analizirati zapisnik na uređaju za vanjske veze i operacije za instaliranje dodatnih datoteka. %SYS-5-CONFIG_P: Programski konfigurisan procesom SEP_webui_wsma_http sa konzole kao korisnik na liniji %SEC_LOGIN-5-WEBLOGIN_SUCCESS: Uspešno prijavljivanje [korisnik: korisnik] [Izvor: izvor_IP_adresa] u 05:41:11 UTC 17, 2023, 6, XNUMX %WEBU -XNUMX-INSTALL_OPERATION_INFO: Korisnik: korisničko ime, Operacija instalacije: DODAJ ime datoteke
U slučaju kompromisa, da biste uklonili implantat, jednostavno ponovo pokrenite uređaj. Nalozi koje je kreirao napadač se zadržavaju nakon ponovnog pokretanja i moraju se ručno izbrisati. Implantat se nalazi u datoteci /usr/binos/conf/nginx-conf/cisco_service.conf i uključuje 29 linija koda na jeziku Lua, pružajući izvršenje proizvoljnih komandi na nivou sistema ili Cisco IOS XE komandni interfejs kao odgovor na HTTP zahtjev sa posebnim skupom parametara.
izvor: opennet.ru