Cisco IOS XE -käyttöjärjestelmällä varustetuissa fyysisissa ja virtuaalisissa Cisco-laitteissa käytettävän verkkoliittymän toteutuksessa on tunnistettu kriittinen haavoittuvuus (CVE-2023-20198), joka mahdollistaa täyden pääsyn järjestelmään ilman todennusta käyttöoikeuksien enimmäistaso, jos sinulla on pääsy verkkoporttiin, jonka kautta verkkokäyttöliittymä toimii. Ongelman vaaraa pahentaa se, että hyökkääjät ovat käyttäneet korjaamatonta haavoittuvuutta kuukauden ajan luodakseen uusia tilejä "cisco_tac_admin" ja "cisco_support" järjestelmänvalvojan oikeuksin ja asentaakseen automaattisesti implantin laitteisiin, jotka tarjoavat etäkäytön suorittamiseen. komennot laitteessa.
Huolimatta siitä, että oikean suojaustason varmistamiseksi on suositeltavaa avata pääsy verkkokäyttöliittymään vain valituille isännille tai paikalliselle verkolle, monet järjestelmänvalvojat jättävät mahdollisuuden muodostaa yhteys maailmanlaajuisesta verkosta. Erityisesti Shodan-palvelun mukaan maailmanlaajuiseen verkkoon on tällä hetkellä tallennettu yli 140 tuhatta mahdollisesti haavoittuvaa laitetta. CERT-organisaatio on tallentanut jo noin 35 XNUMX onnistuneesti hyökättyä Cisco-laitetta, joihin on asennettu haitallinen implantti.
Ennen kuin julkaiset haavoittuvuuden poistavan korjauksen, ongelman estämiseksi on suositeltavaa poistaa HTTP- ja HTTPS-palvelin käytöstä laitteesta komennoilla "no ip http server" ja "no ip http secure-server" konsoliin tai rajoittaa palomuurin verkkokäyttöliittymän käyttöä. Haitallisen implantin olemassaolon tarkistamiseksi on suositeltavaa suorittaa pyyntö: curl -X POST http://IP-devices/webui/logoutconfirm.html?logon_hash=1, joka vaarantuessaan palauttaa 18-merkkisen hash. Voit myös analysoida laitteen lokista ylimääräisiä yhteyksiä ja toimintoja lisätiedostojen asentamiseksi. %SYS-5-CONFIG_P: Määritetty ohjelmallisesti prosessilla SEP_webui_wsma_http konsolista käyttäjänä rivillä %SEC_LOGIN-5-WEBLOGIN_SUCCESS: Kirjautuminen onnistui [user: user] [Lähde: source_IP_address] klo 05:41:11 UTC ke OEBc17t -2023-INSTALL_OPERATION_INFO: Käyttäjä: käyttäjätunnus, asennustoiminto: LISÄÄ tiedostonimi
Kompromissitapauksessa implantti voidaan poistaa käynnistämällä laite uudelleen. Hyökkääjän luomat tilit säilytetään uudelleenkäynnistyksen jälkeen, ja ne on poistettava manuaalisesti. Implantti sijaitsee tiedostossa /usr/binos/conf/nginx-conf/cisco_service.conf ja sisältää 29 koodiriviä Lua-kielellä, jotka mahdollistavat mielivaltaisten komentojen suorittamisen järjestelmätasolla tai Cisco IOS XE -komentoliittymässä vastauksena. HTTP-pyyntöön, jossa on erityiset parametrit.
Lähde: opennet.ru