ProHoster > ะ‘ะปะพะณ > เบ‚เปˆเบฒเบงโ€‹เบญเบดเบ™โ€‹เป€เบ•เบตโ€‹เป€เบ™เบฑเบ”โ€‹ > เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเปƒเบ™ Cisco IOS XE เปƒเบŠเป‰เปƒเบ™เบเบฒเบ™เบ•เบดเบ”เบ•เบฑเป‰เบ‡ backdoor

เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเปƒเบ™ Cisco IOS XE เปƒเบŠเป‰เปƒเบ™เบเบฒเบ™เบ•เบดเบ”เบ•เบฑเป‰เบ‡ backdoor

เปƒเบ™เบเบฒเบ™เบ›เบฐเบ•เบดเบšเบฑเบ”เบเบฒเบ™เป‚เบ•เป‰เบ•เบญเบšเบ‚เบญเบ‡เป€เบงเบฑเบšเบ—เบตเปˆเปƒเบŠเป‰เปƒเบ™เบญเบธเบ›เบฐเบเบญเบ™ Cisco เบ—เบฒเบ‡เบเบฒเบเบเบฐเบžเบฒเบš เปเบฅเบฐ virtual เบ—เบตเปˆเบกเบตเบฅเบฐเบšเบปเบšเบ›เบฐเบ•เบดเบšเบฑเบ”เบเบฒเบ™ Cisco IOS XE, เบกเบตเบˆเบธเบ”เบญเปˆเบญเบ™เบ—เบตเปˆเบชเปเบฒเบ„เบฑเบ™ (CVE-2023-20198) เป„เบ”เป‰เบ–เบทเบเบฅเบฐเบšเบธ, เป€เบŠเบดเปˆเบ‡เบญเบฐเบ™เบธเบเบฒเบ”เปƒเบซเป‰, เป‚เบ”เบเบšเปเปˆเบกเบตเบเบฒเบ™เบเบงเบ”เบชเบญเบšเบ„เบงเบฒเบกเบ–เบทเบเบ•เป‰เบญเบ‡, เป€เบ‚เบปเป‰เบฒเป€เบ–เบดเบ‡เบฅเบฐเบšเบปเบšเบขเปˆเบฒเบ‡เป€เบ•เบฑเบกเบ—เบตเปˆเบเบฑเบšเบฅเบฐเบšเบปเบš. เบฅเบฐเบ”เบฑเบšเบชเบดเบ”เบ—เบดเบชเบนเบ‡เบชเบธเบ”, เบ–เป‰เบฒเบ—เปˆเบฒเบ™เบกเบตเบเบฒเบ™เป€เบ‚เบปเป‰เบฒเป€เบ–เบดเบ‡เบžเบญเบ”เป€เบ„เบทเบญเบ‚เปˆเบฒเบเป‚เบ”เบเบœเปˆเบฒเบ™เบเบฒเบ™เป‚เบ•เป‰เบ•เบญเบšเบ‚เบญเบ‡เป€เบงเบฑเบšเป„เบŠเบ•เปŒเบ—เบตเปˆเบ”เปเบฒเป€เบ™เบตเบ™เบเบฒเบ™. เบญเบฑเบ™เบ•เบฐเบฅเบฒเบเบ‚เบญเบ‡เบšเบฑเบ™เบซเบฒเปเบกเปˆเบ™เบฎเป‰เบฒเบเปเบฎเบ‡เบ‚เบถเป‰เบ™เป‚เบ”เบเบ„เบงเบฒเบกเบˆเบดเบ‡เบ—เบตเปˆเบงเปˆเบฒเบœเบนเป‰เป‚เบˆเบกเบ•เบตเป„เบ”เป‰เปƒเบŠเป‰เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเบ—เบตเปˆเบšเปเปˆเป„เบ”เป‰เบฎเบฑเบšเบเบฒเบ™เบ›เบฑเบšเบ›เบธเบ‡เป€เบ›เบฑเบ™เป€เบงเบฅเบฒเบซเบ™เบถเปˆเบ‡เป€เบ”เบทเบญเบ™เป€เบžเบทเปˆเบญเบชเป‰เบฒเบ‡เบšเบฑเบ™เบŠเบตเป€เบžเบตเปˆเบกเป€เบ•เบตเบก "cisco_tac_admin" เปเบฅเบฐ "cisco_support" เบ—เบตเปˆเบกเบตเบชเบดเบ”เบ—เบดเบœเบนเป‰เป€เบšเบดเปˆเบ‡เปเบเบ‡เบฅเบฐเบšเบปเบš, เปเบฅเบฐเบงเบฒเบ‡ implant เบญเบฑเบ”เบ•เบฐเป‚เบ™เบกเบฑเบ”เปƒเบ™เบญเบธเบ›เบฐเบเบญเบ™เบ—เบตเปˆเบชเบฐเบซเบ™เบญเบ‡เบเบฒเบ™เป€เบ‚เบปเป‰เบฒเป€เบ–เบดเบ‡เบซเปˆเบฒเบ‡เป„เบเบชเบญเบเบซเบผเบตเบเป€เบžเบทเปˆเบญเบ”เปเบฒเป€เบ™เบตเบ™เบเบฒเบ™. เบ„เปเบฒเบชเบฑเปˆเบ‡เบขเบนเปˆเปƒเบ™เบญเบธเบ›เบฐเบเบญเบ™.

เป€เบ–เบดเบ‡เบงเปˆเบฒเบˆเบฐเบกเบตเบ„เบงเบฒเบกเบˆเบดเบ‡เบ—เบตเปˆเบงเปˆเบฒเป€เบžเบทเปˆเบญเบฎเบฑเบšเบ›เบฐเบเบฑเบ™เบฅเบฐเบ”เบฑเบšเบ„เบงเบฒเบกเบ›เบญเบ”เป„เบžเบ—เบตเปˆเป€เบซเบกเบฒเบฐเบชเบปเบก, เบกเบฑเบ™เปเบ™เบฐเบ™เปเบฒเปƒเบซเป‰เป€เบ›เบตเบ”เบเบฒเบ™เป€เบ‚เบปเป‰เบฒเป€เบ–เบดเบ‡เป€เบงเบฑเบšเป„เบŠเบ•เปŒเบžเบฝเบ‡เปเบ•เปˆเบเบฑเบšเป€เบˆเบปเป‰เบฒเบžเบฒเบšเบ—เบตเปˆเป€เบฅเบทเบญเบเบซเบผเบทเป€เบ„เบทเบญเบ‚เปˆเบฒเบเบ—เป‰เบญเบ‡เบ–เบดเปˆเบ™, เบœเบนเป‰เบšเปเบฅเบดเบซเบฒเบ™เบซเบผเบฒเบเบ„เบปเบ™เบญเบญเบเบˆเบฒเบเบ—เบฒเบ‡เป€เบฅเบทเบญเบเปƒเบ™เบเบฒเบ™เป€เบŠเบทเปˆเบญเบกเบ•เปเปˆเบˆเบฒเบเป€เบ„เบทเบญเบ‚เปˆเบฒเบเบ—เบปเปˆเบงเป‚เบฅเบ. เป‚เบ”เบเบชเบฐเป€เบžเบฒเบฐ, เบญเบตเบ‡เบ•เบฒเบกเบเบฒเบ™เบšเปเบฅเบดเบเบฒเบ™ Shodan, เบ›เบฐเบˆเบธเบšเบฑเบ™เบกเบตเบซเบผเบฒเบเบเบงเปˆเบฒ 140 เบžเบฑเบ™เบญเบธเบ›เบฐเบเบญเบ™เบ—เบตเปˆเบกเบตเบ„เบงเบฒเบกเบชเปˆเบฝเบ‡เบ—เบตเปˆเบ–เบทเบเบšเบฑเบ™เบ—เบถเบเป„เบงเป‰เปƒเบ™เป€เบ„เบทเบญเบ‚เปˆเบฒเบเบ—เบปเปˆเบงเป‚เบฅเบ. เบญเบปเบ‡เบเบฒเบ™เบˆเบฑเบ”เบ•เบฑเป‰เบ‡ CERT เป„เบ”เป‰เบšเบฑเบ™เบ—เบถเบเปเบฅเป‰เบงเบ›เบฐเบกเบฒเบ™ 35 เบžเบฑเบ™เบ„เบปเบ™เป„เบ”เป‰เป‚เบˆเบกเบ•เบตเบญเบธเบ›เบฐเบเบญเบ™ Cisco เบชเบปเบšเบœเบปเบ™เบชเปเบฒเป€เบฅเบฑเบ”เบ”เป‰เบงเบเบเบฒเบ™เบ•เบดเบ”เบ•เบฑเป‰เบ‡ implant malicious.

เบเปˆเบญเบ™เบ—เบตเปˆเบˆเบฐเป€เบœเบตเบเปเบœเปˆเบเบฒเบ™เปเบเป‰เป„เบ‚เบ—เบตเปˆเบฅเบปเบšเบฅเป‰เบฒเบ‡เบ„เบงเบฒเบกเบญเปˆเบญเบ™เปเบญ, เป€เบ›เบฑเบ™เบเบฒเบ™เปเบเป‰เป„เบ‚เป€เบžเบทเปˆเบญเบชเบฐเบเบฑเบ”เบเบฑเป‰เบ™เบšเบฑเบ™เบซเบฒ, เปเบ™เบฐเบ™เปเบฒเปƒเบซเป‰เบ›เบดเบ”เป€เบ„เบทเปˆเบญเบ‡เปเบกเปˆเบ‚เปˆเบฒเบ HTTP เปเบฅเบฐ HTTPS เปƒเบ™เบญเบธเบ›เบฐเบเบญเบ™เป‚เบ”เบเปƒเบŠเป‰เบ„เปเบฒเบชเบฑเปˆเบ‡ "เบšเปเปˆเบกเบต ip http server" เปเบฅเบฐ "เบšเปเปˆเบกเบต ip http secure-server" เปƒเบ™. console, เบซเบผเบทเบˆเปเบฒเบเบฑเบ”เบเบฒเบ™เป€เบ‚เบปเป‰เบฒเป€เบ–เบดเบ‡เบชเปˆเบงเบ™เบ•เบดเบ”เบ•เปเปˆเป€เบงเบฑเบšเปƒเบ™ firewall. เป€เบžเบทเปˆเบญเบเบงเบ”เป€เบšเบดเปˆเบ‡เบเบฒเบ™เบ›เบฐเบเบปเบ”เบ•เบปเบงเบ‚เบญเบ‡ implant เบ—เบตเปˆเป€เบ›เบฑเบ™เบญเบฑเบ™เบ•เบฐเบฅเบฒเบ, เบกเบฑเบ™เปเบ™เบฐเบ™เปเบฒเปƒเบซเป‰เบ›เบฐเบ•เบดเบšเบฑเบ”เบ„เปเบฒเบฎเป‰เบญเบ‡เบ‚เป: curl -X POST http://IP-devices/webui/logoutconfirm.html?logon_hash=1 เป€เบŠเบดเปˆเบ‡, เบ–เป‰เบฒเบ–เบทเบเบ›เบฐเบ™เบตเบ›เบฐเบ™เบญเบก, เบˆเบฐเบชเบปเปˆเบ‡เบ„เบทเบ™ 18 เบ•เบปเบงเบญเบฑเบเบชเบญเบ™. เปเบฎเบŠ. เบ™เบญเบเบ™เบฑเป‰เบ™เบ—เปˆเบฒเบ™เบเบฑเบ‡เบชเบฒเบกเบฒเบ”เบงเบดเป€เบ„เบฒเบฐเบšเบฑเบ™เบ—เบถเบเบเปˆเบฝเบงเบเบฑเบšเบญเบธเบ›เบฐเบเบญเบ™เบชเปเบฒเบฅเบฑเบšเบเบฒเบ™เป€เบŠเบทเปˆเบญเบกเบ•เปเปˆ extraneous เปเบฅเบฐเบเบฒเบ™เบ”เปเบฒเป€เบ™เบตเบ™เบ‡เบฒเบ™เบเบฒเบ™เบ•เบดเบ”เบ•เบฑเป‰เบ‡เป„เบŸเบฅเปŒเป€เบžเบตเปˆเบกเป€เบ•เบตเบก. %SYS-5-CONFIG_P: เบ•เบฑเป‰เบ‡เบ„เปˆเบฒเป‚เบ›เบฃเปเบเบฃเบกเป‚เบ”เบเบ‚เบฐเบšเบงเบ™เบเบฒเบ™ SEP_webui_wsma_http เบˆเบฒเบ console เป€เบ›เบฑเบ™เบœเบนเป‰เปƒเบŠเป‰เปƒเบ™เปเบ–เบง %SEC_LOGIN-5-WEBLOGIN_SUCCESS: เป€เบ‚เบปเป‰เบฒเบชเบนเปˆเบฅเบฐเบšเบปเบšเบชเบณเป€เบฅเบฑเบ” [เบœเบนเป‰เปƒเบŠเป‰: user] [เปเบซเบผเปˆเบ‡เบ—เบตเปˆเบกเบฒ: source_IP_address] เป€เบงเบฅเบฒ 05:41:11 UTC Wed 17 เบ•เบธเบฅเบฒ 2023 -6-INSTALL_OPERATION_INFO: เบœเบนเป‰เปƒเบŠเป‰: เบŠเบทเปˆเบœเบนเป‰เปƒเบŠเป‰, เบเบฒเบ™เบ•เบดเบ”เบ•เบฑเป‰เบ‡เบเบฒเบ™เบ”เปเบฒเป€เบ™เบตเบ™เบ‡เบฒเบ™: ADD เบŠเบทเปˆเป„เบŸเบฅเปŒ

เปƒเบ™เบเปเบฅเบฐเบ™เบตเบ—เบตเปˆเบกเบตเบเบฒเบ™เบ›เบฐเบ™เบตเบ›เบฐเบ™เบญเบก, เป€เบžเบทเปˆเบญเป€เบญเบปเบฒ implant เบญเบญเบ, เบžเบฝเบ‡เปเบ•เปˆ reboot เบญเบธเบ›เบฐเบเบญเบ™. เบšเบฑเบ™เบŠเบตเบ—เบตเปˆเบชเป‰เบฒเบ‡เป‚เบ”เบเบœเบนเป‰เป‚เบˆเบกเบ•เบตเบˆเบฐเบ–เบทเบเบฎเบฑเบเบชเบฒเป„เบงเป‰เบซเบผเบฑเบ‡เบˆเบฒเบเบเบฒเบ™เบ›เบดเบ”เป€เบ›เบตเบ”เปƒเปเปˆ เปเบฅเบฐเบ•เป‰เบญเบ‡เบ–เบทเบเบฅเบถเบšเบ”เป‰เบงเบเบ•เบปเบ™เป€เบญเบ‡. implant เบ•เบฑเป‰เบ‡เบขเบนเปˆเปƒเบ™เป„เบŸเบฅเปŒ /usr/binos/conf/nginx-conf/cisco_service.conf เปเบฅเบฐเบ›เบฐเบเบญเบšเบกเบต 29 เปเบ–เบงเบ‚เบญเบ‡เบฅเบฐเบซเบฑเบ”เปƒเบ™เบžเบฒเบชเบฒ Lua, เบชเบฐเบซเบ™เบญเบ‡เบเบฒเบ™เบ›เบฐเบ•เบดเบšเบฑเบ”เบ„เปเบฒเบชเบฑเปˆเบ‡เบ—เบตเปˆเบ•เบปเบ™เป€เบญเบ‡เบกเบฑเบเปƒเบ™เบฅเบฐเบ”เบฑเบšเบฅเบฐเบšเบปเบšเบซเบผเบทเบเบฒเบ™เป‚เบ•เป‰เบ•เบญเบšเบ„เปเบฒเบชเบฑเปˆเบ‡ Cisco IOS XE เปƒเบ™เบเบฒเบ™เบ•เบญเบšเบชเบฐเบซเบ™เบญเบ‡. เบ•เปเปˆเบเบฑเบšเบ„เปเบฒเบฎเป‰เบญเบ‡เบ‚เป HTTP เบ—เบตเปˆเบกเบตเบŠเบธเบ”เบžเบฒเบฅเบฒเบกเบดเป€เบ•เบตเบžเบดเป€เบชเบ” .

เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเปƒเบ™ Cisco IOS XE เปƒเบŠเป‰เปƒเบ™เบเบฒเบ™เบ•เบดเบ”เบ•เบฑเป‰เบ‡ backdoor


เปเบซเบผเปˆเบ‡เบ‚เปเป‰เบกเบนเบ™: opennet.ru

เป€เบžเบตเปˆเบกเบ„เบงเบฒเบกเบ„เบดเบ”เป€เบซเบฑเบ™