Diegiant žiniatinklio sąsają, naudojamą fiziniuose ir virtualiuose „Cisco“ įrenginiuose su „Cisco IOS XE“ operacine sistema, buvo nustatytas kritinis pažeidžiamumas (CVE-2023-20198), leidžiantis be autentifikavimo visapusiškai pasiekti sistemą naudojant maksimalus teisių lygis, jei turite prieigą prie tinklo prievado, per kurį veikia žiniatinklio sąsaja. Problemos pavojų didina tai, kad užpuolikai jau mėnesį naudoja nepataisytą pažeidžiamumą, norėdami sukurti papildomas paskyras „cisco_tac_admin“ ir „cisco_support“ su administratoriaus teisėmis ir automatiškai įdėti implantą į įrenginius, suteikiančius nuotolinę prieigą prie jų vykdyti. komandas įrenginyje.
Nepaisant to, kad norint užtikrinti tinkamą saugumo lygį, prieigą prie žiniatinklio sąsajos rekomenduojama atidaryti tik pasirinktiems pagrindiniams kompiuteriams arba vietiniam tinklui, daugelis administratorių palieka galimybę prisijungti iš pasaulinio tinklo. Visų pirma, „Shodan“ tarnybos duomenimis, šiuo metu pasauliniame tinkle užregistruota daugiau nei 140 tūkst. CERT organizacija jau užfiksavo apie 35 tūkstančius sėkmingai atakuotų Cisco įrenginių su įdiegtu kenkėjišku implantu.
Prieš paskelbiant pažeidžiamumą pašalinančią pataisą, kaip problemos sprendimo būdą, rekomenduojama išjungti HTTP ir HTTPS serverį įrenginyje naudojant komandas „no ip http server“ ir „no ip http safe-server“. konsolėje arba apribokite prieigą prie žiniatinklio sąsajos užkardoje. Norint patikrinti, ar nėra kenkėjiško implanto, rekomenduojama įvykdyti užklausą: curl -X POST http://IP-devices/webui/logoutconfirm.html?logon_hash=1, kuri, jei bus pažeista, grąžins 18 simbolių maišos. Taip pat galite išanalizuoti įrenginio žurnalą dėl pašalinių jungčių ir papildomų failų diegimo operacijų. %SYS-5-CONFIG_P: sukonfigūruota programiškai naudojant procesą SEP_webui_wsma_http iš konsolės kaip naudotojas eilutėje %SEC_LOGIN-5-WEBLOGIN_SUCCESS: Sėkmingas prisijungimas [naudotojas: vartotojas] [Šaltinis: šaltinio_IP_adresas] 05:41:11 UTC17WEBc2023t 6 Trečiadienis %XNUMX -XNUMX-INSTALL_OPERATION_INFO: Vartotojas: vartotojo vardas, Diegimo operacija: PRIDĖTI failo pavadinimą
Kilus kompromisui, norėdami išimti implantą, tiesiog perkraukite įrenginį. Užpuoliko sukurtos paskyros išsaugomos po paleidimo iš naujo ir turi būti pašalintos rankiniu būdu. Implantas yra faile /usr/binos/conf/nginx-conf/cisco_service.conf ir apima 29 kodo eilutes Lua kalba, užtikrinančias savavališkų komandų vykdymą sistemos lygiu arba „Cisco IOS XE“ komandų sąsaja atsakant. į HTTP užklausą su specialiu parametrų rinkiniu .
Šaltinis: opennet.ru