Di pêkanîna pêwendiya webê de ku li ser cîhazên Cisco yên laşî û virtual yên ku bi pergala xebitandina Cisco IOS XE ve hatine bikar anîn, qelsiyek krîtîk (CVE-2023-20198) hatîye nas kirin, ku destûrê dide, bêyî pejirandinê, gihîştina tevahî pergalê bi asta herî zêde ya îmtiyazan, heke we bigihîje porta torê ya ku pêwendiya tevneyê tê de dixebite. Xetereya pirsgirêkê ji ber vê yekê girantir dibe ku êrîşkar ev mehek qelsiya nepatchkirî bikar tînin da ku hesabên zêde "cisco_tac_admin" û "cisco_support" bi mafên rêveberê biafirînin, û bixweber li ser cîhazên ku gihandina ji dûr ve ji bo darvekirinê peyda dikin bi cîh bikin. emrên li ser cîhazê.
Tevî vê rastiyê ku ji bo misogerkirina astek rast a ewlehiyê, tê pêşniyar kirin ku meriv gihîştina navgîniya malperê tenê ji mêvandarên hilbijartî an tora herêmî re veke, gelek rêveber vebijarka girêdana ji tora gerdûnî dihêlin. Bi taybetî, li gorî karûbarê Shodan, heya niha zêdetirî 140 hezar cîhazên potansiyel xeternak li ser tora cîhanî hatine tomar kirin. Rêxistina CERT beriya niha nêzî 35 hezar cîhazên Cisco yên bi serketî êrîş kirin û bi implanteke xirab a ku hatî saz kirin tomar kiribû.
Berî weşandina rastkirinek ku xizaniyê ji holê radike, wekî çareyek ji bo astengkirina pirsgirêkê, tê pêşniyar kirin ku servera HTTP û HTTPS li ser cîhazê bi karanîna fermanên "no ip http server" û "no ip http ewle-server" neçalak bike. konsolê, an gihîştina navrûya webê ya li ser dîwarê dîwarê sînordar bikin. Ji bo kontrolkirina hebûna implantek xirab, tê pêşniyar kirin ku daxwazê bi cih bînin: curl -X POST http://IP-devices/webui/logoutconfirm.html?logon_hash=1 ku, heke têk biçe, dê karakterek 18-ê vegerîne. hash. Her weha hûn dikarin têketinê li ser cîhazê ji bo girêdan û operasyonên derveyî ji bo sazkirina pelên zêde analîz bikin. %SYS-5-CONFIG_P: Ji hêla pêvajoyê ve SEP_webui_wsma_http ji konsolê wekî bikarhênerê li ser xeta %SEC_LOGIN-5-WEBLOGIN_SUCCESS bername hate mîheng kirin: Serkeftina Têketinê [bikarhêner: bikarhêner] [Çavkanî: source_IP_address] li 05:41:11 UTC% WeBUId -17-INSTALL_OPERATION_INFO: Bikarhêner: Navê bikarhêner, Xebata Sazkirinê: Navê pelê ZÊDE BIKE
Di rewşa lihevhatinê de, ji bo rakirina implantê, bi tenê amûrê ji nû ve saz bikin. Hesabên ku ji hêla êrîşker ve hatine afirandin piştî nûve destpêkirinê têne parastin û divê bi destan werin jêbirin. Implant di pelê /usr/binos/conf/nginx-conf/cisco_service.conf de cih digire û 29 rêzikên kodê bi zimanê Lua vedihewîne, di bersivê de pêkanîna fermanên kêfî di asta pergalê de an jî pêwendiya fermana Cisco IOS XE peyda dike. ji bo daxwazek HTTP ya bi komek pîvanên taybetî.
Source: opennet.ru