Na implementación da interface web utilizada nos dispositivos físicos e virtuais de Cisco equipados co sistema operativo Cisco IOS XE, identificouse unha vulnerabilidade crítica (CVE-2023-20198), que permite, sen autenticación, o acceso total ao sistema co nivel máximo de privilexios, se ten acceso ao porto de rede a través do cal opera a interface web. O perigo do problema vese agravado polo feito de que os atacantes estiveron usando a vulnerabilidade sen parches durante un mes para crear contas adicionais "cisco_tac_admin" e "cisco_support" con dereitos de administrador e para colocar automaticamente un implante en dispositivos que proporcionan acceso remoto para executar. comandos no dispositivo.
A pesar de que para garantir o nivel de seguridade adecuado, recoméndase abrir o acceso á interface web só para hosts seleccionados ou para a rede local, moitos administradores deixan a opción de conectarse desde a rede global. En particular, segundo o servizo Shodan, actualmente hai máis de 140 mil dispositivos potencialmente vulnerables rexistrados na rede global. A organización CERT xa rexistrou preto de 35 mil dispositivos Cisco atacados con éxito cun implante malicioso instalado.
Antes de publicar unha corrección que elimine a vulnerabilidade, como solución alternativa para bloquear o problema, recoméndase desactivar o servidor HTTP e HTTPS do dispositivo mediante os comandos "no ip http server" e "no ip http secure-server" no servidor. consola ou limitar o acceso á interface web do firewall. Para comprobar a presenza dun implante malicioso, recoméndase executar a solicitude: curl -X POST http://IP-devices/webui/logoutconfirm.html?logon_hash=1 que, se está comprometida, devolverá un número de 18 caracteres. haxix. Tamén pode analizar o rexistro no dispositivo para detectar conexións e operacións estrañas para instalar ficheiros adicionais. %SYS-5-CONFIG_P: configurado mediante programación polo proceso SEP_webui_wsma_http desde a consola como usuario na liña %SEC_LOGIN-5-WEBLOGIN_SUCCESS: inicio de sesión exitoso [usuario: usuario] [Fonte: source_IP_address] ás 05:41:11 UTC Mér. 17 de outubro de 2023 WEI6 -XNUMX-INSTALL_OPERATION_INFO: Usuario: nome de usuario, Operación de instalación: ENGADIR nome de ficheiro
En caso de compromiso, para eliminar o implante, basta con reiniciar o dispositivo. As contas creadas polo atacante consérvanse despois dun reinicio e deben eliminarse manualmente. O implante atópase no ficheiro /usr/binos/conf/nginx-conf/cisco_service.conf e inclúe 29 liñas de código na linguaxe Lua, que proporciona a execución de comandos arbitrarios a nivel de sistema ou a interface de comandos Cisco IOS XE en resposta. a unha solicitude HTTP cun conxunto especial de parámetros .
Fonte: opennet.ru