Dans la mise en œuvre de l'interface Web utilisée sur les appareils Cisco physiques et virtuels équipés du système d'exploitation Cisco IOS XE, une vulnérabilité critique (CVE-2023-20198) a été identifiée, qui permet, sans authentification, un accès complet au système avec le niveau maximum de privilèges, si vous avez accès au port réseau via lequel l'interface Web fonctionne. Le danger du problème est aggravé par le fait que les attaquants utilisent la vulnérabilité non corrigée depuis un mois pour créer des comptes supplémentaires « cisco_tac_admin » et « cisco_support » avec des droits d'administrateur et pour placer automatiquement un implant sur les appareils fournissant un accès à distance pour exécuter. commandes sur l’appareil.
Malgré le fait que pour garantir un niveau de sécurité adéquat, il est recommandé d'ouvrir l'accès à l'interface Web uniquement aux hôtes sélectionnés ou au réseau local, de nombreux administrateurs laissent la possibilité de se connecter depuis le réseau mondial. En particulier, selon le service Shodan, il existe actuellement plus de 140 35 appareils potentiellement vulnérables enregistrés sur le réseau mondial. L'organisation CERT a déjà enregistré environ XNUMX XNUMX appareils Cisco attaqués avec succès avec un implant malveillant installé.
Avant de publier un correctif qui élimine la vulnérabilité, comme solution de contournement pour bloquer le problème, il est recommandé de désactiver le serveur HTTP et HTTPS sur l'appareil à l'aide des commandes « no ip http server » et « no ip http secure-server » dans le console, ou limiter l'accès à l'interface web sur le pare-feu. Pour vérifier la présence d'un implant malveillant, il est recommandé d'exécuter la requête : curl -X POST http://IP-devices/webui/logoutconfirm.html?logon_hash=1 qui, si elle est compromise, renverra un message de 18 caractères hacher. Vous pouvez également analyser le journal sur l'appareil à la recherche de connexions et d'opérations superflues pour installer des fichiers supplémentaires. %SYS-5-CONFIG_P : configuré par programme par le processus SEP_webui_wsma_http à partir de la console en tant qu'utilisateur en ligne %SEC_LOGIN-5-WEBLOGIN_SUCCESS : connexion réussie [utilisateur : utilisateur] [Source : source_IP_address] à 05:41:11 UTC mercredi 17 octobre 2023 %WEBUI -6-INSTALL_OPERATION_INFO : Utilisateur : nom d'utilisateur, Opération d'installation : AJOUTER un nom de fichier
En cas de compromission, pour retirer l'implant, il suffit de redémarrer l'appareil. Les comptes créés par l'attaquant sont conservés après un redémarrage et doivent être supprimés manuellement. L'implant se trouve dans le fichier /usr/binos/conf/nginx-conf/cisco_service.conf et comprend 29 lignes de code en langage Lua, permettant l'exécution de commandes arbitraires au niveau du système ou de l'interface de commande Cisco IOS XE en réponse à une requête HTTP avec un ensemble spécial de paramètres.
Source: opennet.ru