Amin'ny fampiharana ny interface interface ampiasaina amin'ny fitaovana Cisco ara-batana sy virtoaly miaraka amin'ny rafitra fiasan'ny Cisco IOS XE, dia hita ny vulnerability (CVE-2023-20198), izay mamela, tsy misy fanamarinana, ny fidirana feno amin'ny rafitra miaraka amin'ny ambaratonga ambony indrindra amin'ny tombontsoa, ββraha afaka miditra amin'ny seranan-tserasera izay iasan'ny interface tsara ianao. Ny loza ateraky ny olana dia mihamitombo noho ny fampiasana ny vulnerability tsy voafehy nandritra ny iray volana ny mpanafika mba hamorona kaonty fanampiny "cisco_tac_admin" sy "cisco_support" miaraka amin'ny zon'ny mpitantana, ary hametraka ho azy ny implant amin'ny fitaovana izay manome fidirana lavitra hanatanteraka. baiko amin'ny fitaovana.
Na dia eo aza ny zava-misy fa mba hiantohana ny haavon'ny fiarovana, dia soso-kevitra ny hanokafana ny fidirana amin'ny Internet interface tsara ho an'ny mpampiantrano voafantina na ny tambajotra eo an-toerana, maro ny mpitantana no mamela ny safidy mifandray amin'ny tambajotra manerantany. Indrindra indrindra, araka ny filazan'ny serivisy Shodan, misy fitaovana mety ho vulnerable maherin'ny 140 arivo amin'izao fotoana izao voarakitra ao amin'ny tambajotra manerantany. Ny fikambanana CERT dia efa nandrakitra manodidina ny 35 ireo fitaovana Cisco nahomby tamin'ny fametrahana implant mampidi-doza.
Alohan'ny hamoahana fanamboarana izay manafoana ny vulnerability, ho toy ny vahaolana hanakanana ny olana, dia asaina manaisotra ny mpizara HTTP sy HTTPS amin'ny fitaovana amin'ny alΓ lan'ny baiko "tsy misy ip http server" sy "tsy misy ip http secure-server" ao amin'ny console, na mametra ny fidirana amin'ny seha-tranonkala amin'ny firewall. Mba hanamarinana ny fisian'ny implant maloto, dia asaina manatanteraka ny fangatahana: curl -X POST http://IP-devices/webui/logoutconfirm.html?logon_hash=1 izay, raha simbaina, dia hamerina tarehin-tsoratra 18 hash. Azonao atao ihany koa ny mamakafaka ny log ao amin'ny fitaovana ho an'ny fifandraisana ivelany sy ny asa hametrahana rakitra fanampiny. %SYS-5-CONFIG_P: Namboarina tamin'ny programa SEP_webui_wsma_http avy amin'ny console ho mpampiasa amin'ny tsipika %SEC_LOGIN-5-WEBLOGIN_SUCCESS: Fahombiazan'ny fidirana [mpampiasa: mpampiasa] [Loharano: source_IP_address] amin'ny 05:41:11 UTC Alaka 17 WE2023 UTC -6-INSTALL_OPERATION_INFO: Mpampiasa: solonanarana, Fametrahana asa: ADD anaran-drakitra
Raha misy marimaritra iraisana, hanesorana ny implant, avereno fotsiny ilay fitaovana. Ny kaonty noforonin'ny mpanafika dia tazonina aorian'ny fanombohana ary tsy maintsy esorina amin'ny tanana. Ny implant dia hita ao amin'ny rakitra /usr/binos/conf/nginx-conf/cisco_service.conf ary misy andalana code 29 amin'ny fiteny Lua, manome fanatanterahana baiko tsy manara-penitra eo amin'ny sehatry ny rafitra na ny interface tsara Cisco IOS XE ho setrin'izany. amin'ny fangatahana HTTP misy masontsivana manokana .
Source: opennet.ru