An der Ëmsetzung vun der Web-Interface benotzt op kierperlechen a virtuelle Cisco-Geräter, déi mam Cisco IOS XE-Betriebssystem ausgestatt sinn, gouf eng kritesch Schwachstelle (CVE-2023-20198) identifizéiert, déi, ouni Authentifikatioun, vollen Zougang zum System mat der maximal Niveau vun Privilegien, wann Dir Zougang zu Reseau port hunn duerch déi de Web Interface bedreift. D'Gefor vum Problem gëtt verschäerft duerch d'Tatsaach datt Ugräifer déi onpatchéiert Schwachstelle fir e Mount benotzt hunn fir zousätzlech Konten "cisco_tac_admin" an "cisco_support" mat Administratorrechter ze kreéieren, an automatesch en Implantat op Apparater ze placéieren déi Fernzougang fir auszeféieren. Kommandoen op den Apparat.
Trotz der Tatsaach, datt fir de passenden Sécherheetsniveau ze garantéieren, ass et recommandéiert den Zougang zum Webinterface nëmme fir ausgewielte Hosten oder dem lokalen Netzwierk opzemaachen, vill Administrateuren verloossen d'Optioun fir aus dem globalen Netzwierk ze verbannen. Besonnesch, laut dem Shodan Service, ginn et momentan méi wéi 140 Tausend potenziell vulnérabel Apparater um weltwäiten Netzwierk opgeholl. D'CERT Organisatioun huet scho ronn 35 Tausend erfollegräich attackéiert Cisco Apparater mat engem béiswëllegen Implantat installéiert.
Ier Dir e Fix publizéiert deen d'Schwachheet eliminéiert, als Léisung fir de Problem ze blockéieren, ass et recommandéiert den HTTP- an HTTPS-Server um Apparat auszeschalten mat de Kommandoen "no ip http server" an "no ip http secure-server" an der Konsole, oder den Zougang zum Webinterface op der Firewall limitéieren. Fir d'Präsenz vun engem béiswëllegen Implantat ze kontrolléieren, ass et recommandéiert d'Ufro auszeféieren: curl -X POST http://IP-devices/webui/logoutconfirm.html?logon_hash=1 déi, wann kompromittéiert, en 18-Charakter zréckginn hash. Dir kënnt och de Logbuch um Apparat analyséieren fir extern Verbindungen an Operatiounen fir zousätzlech Dateien z'installéieren. %SYS-5-CONFIG_P: Programméiert konfiguréiert duerch Prozess SEP_webui_wsma_http vun der Konsole als Benotzer op der Linn %SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Erfolleg [Benotzer: Benotzer] [Source: source_IP_address] um 05:41:11 UTC Wed Oct 17 2023 WEBUI -6-INSTALL_OPERATION_INFO: Benotzer: Benotzernumm, Installatioun Operatioun: ADD Dateinumm
Am Fall vu Kompromëss, fir den Implantat ze läschen, einfach den Apparat nei starten. Konten erstallt vum Ugräifer ginn no engem Neistart behalen a musse manuell geläscht ginn. Den Implantat läit an der Datei /usr/binos/conf/nginx-conf/cisco_service.conf an enthält 29 Zeilen Code an der Lua Sprooch, déi d'Ausféierung vun arbiträr Kommandoen um Systemniveau oder dem Cisco IOS XE Kommando-Interface als Äntwert ubitt. op eng HTTP-Ufro mat engem spezielle Set vu Parameteren.
Source: opennet.ru