백도어 설치에 사용되는 Cisco IOS XE의 취약점

Cisco IOS XE 운영 체제가 탑재된 물리적 및 가상 Cisco 장치에 사용되는 웹 인터페이스 구현에서 인증 없이 시스템에 대한 전체 액세스를 허용하는 심각한 취약점(CVE-2023-20198)이 식별되었습니다. 웹 인터페이스가 작동하는 네트워크 포트에 대한 액세스 권한이 있는 경우 최대 권한 수준. 공격자들이 패치되지 않은 취약점을 한 달 동안 이용해 관리자 권한이 있는 "cisco_tac_admin"과 "cisco_support" 계정을 추가로 생성하고, 실행을 위한 원격 액세스를 제공하는 장치에 자동으로 임플란트를 배치한다는 점에서 문제의 위험성은 더욱 가중됩니다. 장치에 대한 명령.

적절한 수준의 보안을 보장하려면 선택한 호스트 또는 로컬 네트워크에만 웹 인터페이스에 대한 액세스를 여는 것이 권장되지만 많은 관리자는 글로벌 네트워크에서 연결하는 옵션을 그대로 둡니다. 특히 쇼단(Shodan) 서비스에 따르면 현재 글로벌 네트워크에는 잠재적으로 취약한 기기가 140만개 이상 기록돼 있다. CERT 조직은 이미 악성 임플란트가 설치된 Cisco 장치 공격에 성공한 약 35대를 기록했습니다.

취약점을 제거하는 수정 사항을 게시하기 전에 문제를 차단하기 위한 해결 방법으로 "no ip http server" 및 "no ip http secure-server" 명령을 사용하여 장치에서 HTTP 및 HTTPS 서버를 비활성화하는 것이 좋습니다. 콘솔을 사용하거나 방화벽의 웹 인터페이스에 대한 액세스를 제한하세요. 악성 임플란트의 존재를 확인하려면 다음 요청을 실행하는 것이 좋습니다. 컬 -X POST http://IP-devices/webui/logoutconfirm.html?logon_hash=1 이 요청이 손상되면 18자를 반환합니다. 해시시. 또한 추가 파일을 설치하기 위한 외부 연결 및 작업에 대한 장치의 로그를 분석할 수도 있습니다. %SYS-5-CONFIG_P: %SEC_LOGIN-5-WEBLOGIN_SUCCESS 라인의 사용자로 콘솔에서 SEP_webui_wsma_http 프로세스에 의해 프로그래밍 방식으로 구성됨: 로그인 성공 [사용자: 사용자] [출처: source_IP_address] at 05:41:11 UTC Wed Oct 17 2023 %WEBUI -6-INSTALL_OPERATION_INFO: 사용자: 사용자 이름, 설치 작업: 파일 이름 추가

손상된 경우 임플란트를 제거하려면 장치를 재부팅하기만 하면 됩니다. 공격자가 만든 계정은 다시 시작한 후에도 유지되며 수동으로 삭제해야 합니다. 임플란트는 /usr/binos/conf/nginx-conf/cisco_service.conf 파일에 있으며 Lua 언어로 된 29줄의 코드를 포함하여 이에 대한 응답으로 시스템 수준 또는 Cisco IOS XE 명령 인터페이스에서 임의 명령 실행을 제공합니다. 특별한 매개변수 세트를 사용하여 HTTP 요청에 적용합니다.

출처 : opennet.ru