A Cisco IOS XE operációs rendszerrel felszerelt fizikai és virtuális Cisco eszközökön használt webes felület megvalósítása során egy kritikus biztonsági rést (CVE-2023-20198) azonosítottak, amely hitelesítés nélkül teljes hozzáférést biztosít a rendszerhez. a maximális jogosultságokkal, ha hozzáfér a hálózati porthoz, amelyen keresztül a webes felület működik. A probléma veszélyét súlyosbítja, hogy a támadók a javítatlan biztonsági rést egy hónapja arra használják, hogy további „cisco_tac_admin” és „cisco_support” fiókokat hozzanak létre rendszergazdai jogokkal, és automatikusan implantátumot helyezzenek el a végrehajtáshoz távoli hozzáférést biztosító eszközökön. parancsokat a készüléken.
Annak ellenére, hogy a megfelelő biztonsági szint biztosítása érdekében a webes felülethez való hozzáférést csak kiválasztott gépek vagy a helyi hálózat számára javasolt megnyitni, sok rendszergazda meghagyja a globális hálózatról történő csatlakozás lehetőségét. A Shodan szolgáltatás szerint jelenleg több mint 140 ezer potenciálisan sebezhető eszköz van rögzítve a globális hálózaton. A CERT szervezet már mintegy 35 ezer sikeresen megtámadott Cisco eszközt rögzített rosszindulatú implantátummal.
A sebezhetőséget kiküszöbölő javítás közzététele előtt a probléma blokkolása érdekében javasolt letiltani a HTTP- és HTTPS-kiszolgálót az eszközön a „no ip http server” és a „no ip http safe-server” parancsok használatával. konzolra, vagy korlátozza a webes felület elérését a tűzfalon. A rosszindulatú implantátum jelenlétének ellenőrzéséhez javasoljuk, hogy hajtsa végre a következő kérést: curl -X POST http://IP-devices/webui/logoutconfirm.html?logon_hash=1, amely 18 karakterből áll vissza. hash. Elemezheti a naplót az eszközön, hogy vannak-e idegen kapcsolatok és műveletek további fájlok telepítéséhez. %SYS-5-CONFIG_P: Programozottan konfigurálva a SEP_webui_wsma_http folyamattal a konzolról felhasználóként a %SEC_LOGIN-5-WEBLOGIN_SUCCESS vonalon: Sikeres bejelentkezés [felhasználó: felhasználó] [Forrás: source_IP_address], 05:41:11 UTC, szerda %17WEBc2023t -6-INSTALL_OPERATION_INFO: Felhasználó: felhasználónév, Telepítési művelet: Fájlnév hozzáadása
Kompromisszum esetén az implantátum eltávolításához egyszerűen indítsa újra a készüléket. A támadó által létrehozott fiókok az újraindítás után is megmaradnak, és manuálisan kell törölni őket. Az implantátum a /usr/binos/conf/nginx-conf/cisco_service.conf fájlban található, és 29 kódsort tartalmaz a Lua nyelven, amelyek válaszként tetszőleges parancsok végrehajtását biztosítják rendszerszinten vagy a Cisco IOS XE parancsfelületén. egy speciális paraméterkészlettel rendelkező HTTP-kérésre.
Forrás: opennet.ru