Im Web-Interface, das auf physischen und virtuellen Cisco-GerĂ€ten mit dem Betriebssystem Cisco IOS XE verwendet wird, wurde eine kritische SicherheitsanfĂ€lligkeit (CVE-2023-20198) entdeckt. Diese ermöglicht es unbefugten Benutzern, ohne Authentifizierung vollen Zugriff auf das System mit den höchsten Berechtigungen zu erlangen, sofern sie Zugang zu dem Netzwerkport haben, ĂŒber den das Web-Interface betrieben wird. Die Gefahr wird verschĂ€rft durch die Tatsache, dass Angreifer seit ĂŒber einem Monat diese nicht gepatchte SicherheitsanfĂ€lligkeit nutzen, um zusĂ€tzliche Konten âcisco_tac_adminâ und âcisco_supportâ mit Administratorrechten zu erstellen und automatisiert Implantate auf den GerĂ€ten zu platzieren, die einen Remote-Zugriff fĂŒr die AusfĂŒhrung von Befehlen auf dem GerĂ€t ermöglichen.
Obwohl es empfohlen wird, den Zugriff auf das Web-Interface nur fĂŒr ausgewĂ€hlte Hosts oder lokale Netzwerke zu öffnen, lassen viele Administratoren dennoch den Zugriff aus dem globalen Netzwerk zu. Laut dem Shodan-Dienst sind derzeit ĂŒber 140.000 potenziell anfĂ€llige GerĂ€te im globalen Netzwerk erfasst. Die CERT-Organisation hat bereits etwa 35.000 erfolgreich angegriffene Cisco-GerĂ€te dokumentiert, auf denen ein schĂ€dlicher Implantat installiert ist.
Um die SicherheitsanfĂ€lligkeit zu beheben, wird empfohlen, den HTTP- und HTTPS-Server auf dem GerĂ€t vorĂŒbergehend zu deaktivieren. Dies kann in der Konsole mit den Befehlen âno ip http serverâ und âno ip http secure-serverâ erfolgen oder indem der Zugriff auf die Web-OberflĂ€che ĂŒber die Firewall eingeschrĂ€nkt wird. Zur ĂberprĂŒfung auf schĂ€dliche Implantate kann folgender Befehl ausgefĂŒhrt werden: curl -X POST http://IP-gerĂ€t/webui/logoutconfirm.html?logon_hash=1. Bei einer Kompromittierung gibt dieser Befehl einen 18-stelligen Hash zurĂŒck. Zudem kann das GerĂ€t auf ungewöhnliche Verbindungen und InstallationsaktivitĂ€ten zusĂ€tzlicher Dateien ĂŒberprĂŒft werden. %SYS-5-CONFIG_P: Programmgesteuert konfiguriert durch den Prozess SEP_webui_wsma_http aus der Konsole als Benutzer in der Zeile %SEC_LOGIN-5-WEBLOGIN_SUCCESS: Anmeldung erfolgreich [Benutzer: Benutzer] [Quelle: Quell-IP-Adresse] um 05:41:11 UTC am Mittwoch, den 17. Oktober 2023 %WEBUI-6-INSTALL_OPERATION_INFO: Benutzer: benutzername, Installationsvorgang: HINZUFĂGEN dateiname
Im Falle einer Kompromittierung reicht es aus, das GerĂ€t neu zu starten, um das Implantat zu entfernen. Die vom Angreifer erstellten Konten bleiben nach dem Neustart erhalten und mĂŒssen manuell gelöscht werden. Das Implantat befindet sich in der Datei /usr/binos/conf/nginx-conf/cisco_service.conf und enthĂ€lt 29 Zeilen Code in Lua, die die AusfĂŒhrung beliebiger Befehle auf Systemebene oder ĂŒber die Cisco IOS XE-Befehlszeilenschnittstelle in Reaktion auf eine HTTP-Anfrage mit einem speziellen Parametersatz ermöglichen.

Quelle: opennet.ru
