Ing implementasine saka antarmuka web digunakake ing piranti Cisco fisik lan virtual dilengkapi sistem operasi Cisco IOS XE, wis dikenali kerentanan kritis (CVE-2023-20198), sing ngidini, tanpa bukti asli, akses lengkap kanggo sistem karo tingkat maksimum hak istimewa, yen sampeyan duwe akses menyang port jaringan liwat kang antarmuka web makaryakke. Bebaya masalah kasebut saya tambah amarga kasunyatan manawa para panyerang nggunakake kerentanan sing ora ditambal sajrone sewulan kanggo nggawe akun tambahan "cisco_tac_admin" lan "cisco_support" kanthi hak administrator, lan kanthi otomatis nempatake implan ing piranti sing nyedhiyakake akses remot kanggo eksekusi. printah ing piranti.
Senadyan kasunyatan manawa kanggo njamin tingkat keamanan sing tepat, disaranake mbukak akses menyang antarmuka web mung kanggo host sing dipilih utawa jaringan lokal, akeh pangurus ninggalake pilihan kanggo nyambungake saka jaringan global. KhususΓ©, miturut layanan Shodan, saiki ana luwih saka 140 ewu piranti sing bisa rawan sing direkam ing jaringan global. Organisasi CERT wis nyathet udakara 35 ewu sing sukses nyerang piranti Cisco kanthi implan jahat sing diinstal.
Sadurunge nerbitake fix sing ngilangi kerentanan, minangka solusi kanggo mblokir masalah kasebut, disaranake mateni server HTTP lan HTTPS ing piranti nggunakake printah "ora ip http server" lan "ora ip http server aman" ing console, utawa matesi akses menyang antarmuka web ing firewall. Kanggo mriksa ananΓ© implan angkoro, disaranake nglakokakΓ© panyuwunan: curl -X POST http://IP-devices/webui/logoutconfirm.html?logon_hash=1 sing, yen dikompromi, bakal ngasilake 18 karakter. hash. Sampeyan uga bisa nganalisa log ing piranti kanggo sambungan lan operasi extraneous kanggo nginstal file tambahan. %SYS-5-CONFIG_P: Dikonfigurasi kanthi program kanthi proses SEP_webui_wsma_http saka console minangka pangguna ing baris %SEC_LOGIN-5-WEBLOGIN_SUCCESS: Sukses Login [user: user] [Sumber: source_IP_address] jam 05:41:11 UTC Rebo 17 Oktober 2023 WE6 -XNUMX-INSTALL_OPERATION_INFO: Panganggo: jeneng panganggo, Instal Operasi: ADD filename
Yen ana kompromi, kanggo mbusak implan, mung urip maneh piranti. Akun sing digawe dening panyerang disimpen sawise diwiwiti maneh lan kudu dibusak kanthi manual. Implant dumunung ing file /usr/binos/conf/nginx-conf/cisco_service.conf lan kalebu 29 baris kode ing basa Lua, nyediakake eksekusi printah kasepakatan ing tingkat sistem utawa antarmuka printah Cisco IOS XE nanggepi. menyang panjalukan HTTP kanthi paramèter khusus.
Source: opennet.ru