Κατά την υλοποίηση της διεπαφής web που χρησιμοποιείται σε φυσικές και εικονικές συσκευές Cisco εξοπλισμένες με το λειτουργικό σύστημα Cisco IOS XE, εντοπίστηκε μια κρίσιμη ευπάθεια (CVE-2023-20198), η οποία επιτρέπει, χωρίς έλεγχο ταυτότητας, πλήρη πρόσβαση στο σύστημα με μέγιστο επίπεδο προνομίων, εάν έχετε πρόσβαση στη θύρα δικτύου μέσω της οποίας λειτουργεί η διεπαφή ιστού. Ο κίνδυνος του προβλήματος επιδεινώνεται από το γεγονός ότι οι εισβολείς χρησιμοποιούν την ευπάθεια που δεν έχει επιδιορθωθεί για ένα μήνα για να δημιουργήσουν πρόσθετους λογαριασμούς "cisco_tac_admin" και "cisco_support" με δικαιώματα διαχειριστή και για να τοποθετήσουν αυτόματα ένα εμφύτευμα σε συσκευές που παρέχουν απομακρυσμένη πρόσβαση για εκτέλεση εντολές στη συσκευή.
Παρά το γεγονός ότι για να διασφαλιστεί το κατάλληλο επίπεδο ασφάλειας, συνιστάται η πρόσβαση στη διεπαφή Ιστού μόνο σε επιλεγμένους κεντρικούς υπολογιστές ή στο τοπικό δίκτυο, πολλοί διαχειριστές αφήνουν την επιλογή σύνδεσης από το παγκόσμιο δίκτυο. Συγκεκριμένα, σύμφωνα με την υπηρεσία Shodan, υπάρχουν σήμερα περισσότερες από 140 χιλιάδες δυνητικά ευάλωτες συσκευές που έχουν καταγραφεί στο παγκόσμιο δίκτυο. Ο οργανισμός CERT έχει ήδη καταγράψει περίπου 35 χιλιάδες επιτυχώς επιτεθειμένες συσκευές Cisco με εγκατεστημένο ένα κακόβουλο εμφύτευμα.
Πριν από τη δημοσίευση μιας επιδιόρθωσης που εξαλείφει την ευπάθεια, ως λύση για τον αποκλεισμό του προβλήματος, συνιστάται να απενεργοποιήσετε τον διακομιστή HTTP και HTTPS στη συσκευή χρησιμοποιώντας τις εντολές "no ip http server" και "no ip http safe-server" στο κονσόλα ή περιορίστε την πρόσβαση στη διεπαφή ιστού στο τείχος προστασίας. Για να ελέγξετε αν υπάρχει κακόβουλο εμφύτευμα, συνιστάται να εκτελέσετε το αίτημα: curl -X POST http://IP-devices/webui/logoutconfirm.html?logon_hash=1 το οποίο, εάν παραβιαστεί, θα επιστρέψει έναν 18 χαρακτήρων χασίσι. Μπορείτε επίσης να αναλύσετε το αρχείο καταγραφής στη συσκευή για εξωτερικές συνδέσεις και λειτουργίες για την εγκατάσταση πρόσθετων αρχείων. %SYS-5-CONFIG_P: Ρυθμίστηκε μέσω προγραμματισμού με τη διεργασία SEP_webui_wsma_http από την κονσόλα ως χρήστης στη γραμμή %SEC_LOGIN-5-WEBLOGIN_SUCCESS: Επιτυχία σύνδεσης [χρήστης: χρήστης] [Πηγή: source_IP_address] στις 05:41:11 %17 UTCWE2023BUI -6-INSTALL_OPERATION_INFO: Χρήστης: όνομα χρήστη, Λειτουργία εγκατάστασης: ΠΡΟΣΘΗΚΗ ονόματος αρχείου
Σε περίπτωση συμβιβασμού, για να αφαιρέσετε το εμφύτευμα, απλώς επανεκκινήστε τη συσκευή. Οι λογαριασμοί που δημιουργούνται από τον εισβολέα διατηρούνται μετά από επανεκκίνηση και πρέπει να διαγραφούν με μη αυτόματο τρόπο. Το εμφύτευμα βρίσκεται στο αρχείο /usr/binos/conf/nginx-conf/cisco_service.conf και περιλαμβάνει 29 γραμμές κώδικα στη γλώσσα Lua, παρέχοντας την εκτέλεση αυθαίρετων εντολών σε επίπεδο συστήματος ή στη διεπαφή εντολών Cisco IOS XE ως απόκριση σε ένα αίτημα HTTP με ένα ειδικό σύνολο παραμέτρων.
Πηγή: opennet.ru