SicherheitsanfÀlligkeit in Cisco IOS XE ermöglicht das Einrichten eines Backdoors

Im Web-Interface, das auf physischen und virtuellen Cisco-GerĂ€ten mit dem Betriebssystem Cisco IOS XE verwendet wird, wurde eine kritische SicherheitsanfĂ€lligkeit (CVE-2023-20198) entdeckt. Diese ermöglicht es unbefugten Benutzern, ohne Authentifizierung vollen Zugriff auf das System mit den höchsten Berechtigungen zu erlangen, sofern sie Zugang zu dem Netzwerkport haben, ĂŒber den das Web-Interface betrieben wird. Die Gefahr wird verschĂ€rft durch die Tatsache, dass Angreifer seit ĂŒber einem Monat diese nicht gepatchte SicherheitsanfĂ€lligkeit nutzen, um zusĂ€tzliche Konten „cisco_tac_admin“ und „cisco_support“ mit Administratorrechten zu erstellen und automatisiert Implantate auf den GerĂ€ten zu platzieren, die einen Remote-Zugriff fĂŒr die AusfĂŒhrung von Befehlen auf dem GerĂ€t ermöglichen.

Obwohl es empfohlen wird, den Zugriff auf das Web-Interface nur fĂŒr ausgewĂ€hlte Hosts oder lokale Netzwerke zu öffnen, lassen viele Administratoren dennoch den Zugriff aus dem globalen Netzwerk zu. Laut dem Shodan-Dienst sind derzeit ĂŒber 140.000 potenziell anfĂ€llige GerĂ€te im globalen Netzwerk erfasst. Die CERT-Organisation hat bereits etwa 35.000 erfolgreich angegriffene Cisco-GerĂ€te dokumentiert, auf denen ein schĂ€dlicher Implantat installiert ist.

Um die SicherheitsanfĂ€lligkeit zu beheben, wird empfohlen, den HTTP- und HTTPS-Server auf dem GerĂ€t vorĂŒbergehend zu deaktivieren. Dies kann in der Konsole mit den Befehlen „no ip http server“ und „no ip http secure-server“ erfolgen oder indem der Zugriff auf die Web-OberflĂ€che ĂŒber die Firewall eingeschrĂ€nkt wird. Zur ÜberprĂŒfung auf schĂ€dliche Implantate kann folgender Befehl ausgefĂŒhrt werden: curl -X POST http://IP-gerĂ€t/webui/logoutconfirm.html?logon_hash=1. Bei einer Kompromittierung gibt dieser Befehl einen 18-stelligen Hash zurĂŒck. Zudem kann das GerĂ€t auf ungewöhnliche Verbindungen und InstallationsaktivitĂ€ten zusĂ€tzlicher Dateien ĂŒberprĂŒft werden. %SYS-5-CONFIG_P: Programmgesteuert konfiguriert durch den Prozess SEP_webui_wsma_http aus der Konsole als Benutzer in der Zeile %SEC_LOGIN-5-WEBLOGIN_SUCCESS: Anmeldung erfolgreich [Benutzer: Benutzer] [Quelle: Quell-IP-Adresse] um 05:41:11 UTC am Mittwoch, den 17. Oktober 2023 %WEBUI-6-INSTALL_OPERATION_INFO: Benutzer: benutzername, Installationsvorgang: HINZUFÜGEN dateiname

Im Falle einer Kompromittierung reicht es aus, das GerĂ€t neu zu starten, um das Implantat zu entfernen. Die vom Angreifer erstellten Konten bleiben nach dem Neustart erhalten und mĂŒssen manuell gelöscht werden. Das Implantat befindet sich in der Datei /usr/binos/conf/nginx-conf/cisco_service.conf und enthĂ€lt 29 Zeilen Code in Lua, die die AusfĂŒhrung beliebiger Befehle auf Systemebene oder ĂŒber die Cisco IOS XE-Befehlszeilenschnittstelle in Reaktion auf eine HTTP-Anfrage mit einem speziellen Parametersatz ermöglichen.

SicherheitsanfÀlligkeit in Cisco IOS XE ermöglicht das Einrichten eines Backdoors


Quelle: opennet.ru
Kaufen Sie zuverlĂ€ssiges Hosting fĂŒr Websites mit DDoS-Schutz, VPS VDS-Server đŸ”„ Kaufen Sie zuverlĂ€ssiges Hosting fĂŒr Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster