I ka hoʻokō ʻana i ka ʻaoʻao pūnaewele i hoʻohana ʻia ma nā mea kino a me ka virtual Cisco i hoʻolako ʻia me ka ʻōnaehana hana Cisco IOS XE, ua ʻike ʻia kahi vulnerability koʻikoʻi (CVE-2023-20198), e hiki ai, me ka ʻole o ka hōʻoia, ke komo piha i ka ʻōnaehana me ka ka pae kiʻekiʻe o nā pono, inā loaʻa iā ʻoe ke komo i ke awa pūnaewele kahi e hana ai ka ʻaoʻao pūnaewele. Hoʻonui ʻia ka pilikia o ka pilikia ma muli o ka hoʻohana ʻana o ka poʻe hoʻouka i ka vulnerability unpatched no hoʻokahi mahina e hana i nā moʻokāki hou "cisco_tac_admin" a me "cisco_support" me nā kuleana luna, a e kau maʻalahi i kahi implant ma nā polokalamu e hāʻawi i kahi mamao mamao e hoʻokō. kauoha ma ka mea hana.
ʻOiai ʻo ka mea e hōʻoia ai i ka pae kūpono o ka palekana, ʻōlelo ʻia e wehe i ke komo ʻana i ka ʻaoʻao pūnaewele wale nō i nā pūʻali i koho ʻia a i ʻole ka pūnaewele kūloko, nui nā luna e waiho i ke koho o ka hoʻopili ʻana mai ka pūnaewele puni honua. Ma keʻano kūikawā, e like me ka lawelawe ʻo Shodan, aia i kēia manawa ʻoi aku ma mua o 140 tausani mau mea pilikia i hoʻopaʻa ʻia ma ka pūnaewele honua. Ua hoʻopaʻa ʻia ka hui CERT ma kahi o 35 tausani i hoʻouka maikaʻi ʻia i nā polokalamu Cisco me kahi implant maikaʻi i hoʻokomo ʻia.
Ma mua o ka hoʻopuka ʻana i kahi hoʻoponopono e hoʻopau ai i ka nāwaliwali, ma ke ʻano he hana e pale ai i ka pilikia, ua ʻōlelo ʻia e hoʻopau i ka server HTTP a me HTTPS ma ka hāmeʻa me ka hoʻohana ʻana i nā kauoha "no ip http server" a "no ip http secure-server" i ka console, a i ʻole e kaupalena i ke komo ʻana i ka pānaewele ma ka pā ahi. No ka nānā ʻana i ka loaʻa ʻana o kahi implant maikaʻi ʻole, ua ʻōlelo ʻia e hoʻokō i ka noi: curl -X POST http://IP-devices/webui/logoutconfirm.html?logon_hash=1 a, inā hoʻololi ʻia, e hoʻihoʻi i kahi 18-character. hash. Hiki iā ʻoe ke hoʻokaʻawale i ka log ma ka hāmeʻa no nā pili ʻokoʻa a me nā hana e hoʻokomo i nā faila hou. %SYS-5-CONFIG_P: Hoʻonohonoho ʻia ma ka papahana ma ke kaʻina SEP_webui_wsma_http mai ka console ma ke ʻano he mea hoʻohana ma ka laina %SEC_LOGIN-5-WEBLOGIN_SUCCESS: Hoʻokomo ʻia ka lanakila [mea hoʻohana: mea hoʻohana] [Source: source_IP_address] ma 05:41:11 UTC Pōʻakolu 17 %WE2023W. -6-INSTALL_OPERATION_INFO: Mea hoʻohana: inoa inoa, Hoʻokomo i ka hana: ADD filename
I ka hihia o ke kuʻikahi, e wehe i ka implant, e hoʻomaka hou i ka hāmeʻa. Mālama ʻia nā moʻokāki i hana ʻia e ka mea hoʻouka ma hope o ka hoʻomaka hou ʻana a pono e holoi ʻia me ka lima. Aia ka implant ma ka waihona /usr/binos/conf/nginx-conf/cisco_service.conf a he 29 laina o ke code ma ka ʻōlelo Lua, e hāʻawi ana i ka hoʻokō ʻana i nā kauoha arbitrary ma ka pae ʻōnaehana a i ʻole ke kikowaena kauoha Cisco IOS XE ma ka pane. i kahi noi HTTP me kahi hoʻonohonoho kūikawā o nā ʻāpana .
Source: opennet.ru