Při implementaci webového rozhraní používaného na fyzických a virtuálních zařízeních Cisco vybavených operačním systémem Cisco IOS XE byla identifikována kritická zranitelnost (CVE-2023-20198), která umožňuje bez autentizace plný přístup do systému s maximální úroveň oprávnění, pokud máte přístup k síťovému portu, přes který webové rozhraní funguje. Nebezpečí problému je umocněno skutečností, že útočníci již měsíc využívají neopravenou zranitelnost k vytvoření dalších účtů „cisco_tac_admin“ a „cisco_support“ s administrátorskými právy a k automatickému umístění implantátu na zařízení, která poskytují vzdálený přístup k provádění příkazy na zařízení.
Přestože pro zajištění správné úrovně zabezpečení je doporučeno otevírat přístup k webovému rozhraní pouze vybraným počítačům nebo lokální síti, mnoho administrátorů ponechává možnost připojení z globální sítě. Konkrétně podle služby Shodan je v současné době v celosvětové síti zaznamenáno více než 140 tisíc potenciálně zranitelných zařízení. Organizace CERT již zaznamenala zhruba 35 tisíc úspěšně napadených zařízení Cisco s nainstalovaným škodlivým implantátem.
Před zveřejněním opravy, která eliminuje zranitelnost, se jako řešení k zablokování problému doporučuje deaktivovat server HTTP a HTTPS na zařízení pomocí příkazů „no ip http server“ a „no ip http secure-server“ v konzole, nebo omezit přístup k webovému rozhraní na firewallu. Chcete-li zkontrolovat přítomnost škodlivého implantátu, doporučujeme provést požadavek: curl -X POST http://IP-devices/webui/logoutconfirm.html?logon_hash=1, který, pokud bude kompromitován, vrátí 18znakový hash. Můžete také analyzovat protokol na zařízení pro nadbytečná připojení a operace k instalaci dalších souborů. %SYS-5-CONFIG_P: Nakonfigurováno programově procesem SEP_webui_wsma_http z konzole jako uživatel na řádku %SEC_LOGIN-5-WEBLOGIN_SUCCESS: Úspěšné přihlášení [uživatel: uživatel] [Zdroj: zdrojová_IP_adresa] v 05:41:11 UTC St 17. října %WEBUI 2023 -6-INSTALL_OPERATION_INFO: Uživatel: uživatelské jméno, Operace instalace: PŘIDAT název souboru
V případě kompromisu stačí k odstranění implantátu zařízení jednoduše restartovat. Účty vytvořené útočníkem jsou po restartu zachovány a musí být odstraněny ručně. Implantát se nachází v souboru /usr/binos/conf/nginx-conf/cisco_service.conf a obsahuje 29 řádků kódu v jazyce Lua, které v odezvě zajišťují provádění libovolných příkazů na úrovni systému nebo příkazového rozhraní Cisco IOS XE. na požadavek HTTP se speciální sadou parametrů.
Zdroj: opennet.ru