Dalam pelaksanaan antara muka web yang digunakan pada peranti Cisco fizikal dan maya yang dilengkapi dengan sistem pengendalian Cisco IOS XE, kelemahan kritikal (CVE-2023-20198) telah dikenal pasti, yang membolehkan, tanpa pengesahan, akses penuh kepada sistem dengan tahap maksimum keistimewaan, jika anda mempunyai akses ke port rangkaian yang melaluinya antara muka web beroperasi. Bahaya masalah ini diburukkan lagi oleh fakta bahawa penyerang telah menggunakan kerentanan yang tidak ditambal selama sebulan untuk membuat akaun tambahan "cisco_tac_admin" dan "cisco_support" dengan hak pentadbir, dan secara automatik meletakkan implan pada peranti yang menyediakan akses jauh untuk dilaksanakan arahan pada peranti.
Walaupun fakta bahawa untuk memastikan tahap keselamatan yang betul, adalah disyorkan untuk membuka akses kepada antara muka web hanya kepada hos terpilih atau rangkaian tempatan, banyak pentadbir meninggalkan pilihan untuk menyambung dari rangkaian global. Khususnya, menurut perkhidmatan Shodan, kini terdapat lebih daripada 140 ribu peranti yang berpotensi terdedah direkodkan pada rangkaian global. Organisasi CERT telah pun merekodkan kira-kira 35 ribu berjaya menyerang peranti Cisco dengan implan berniat jahat dipasang.
Sebelum menerbitkan pembetulan yang menghapuskan kelemahan, sebagai penyelesaian untuk menyekat masalah, adalah disyorkan untuk melumpuhkan pelayan HTTP dan HTTPS pada peranti menggunakan arahan "pelayan tiada ip http" dan "pelayan selamat tiada ip http" dalam konsol, atau hadkan akses kepada antara muka web pada tembok api. Untuk menyemak kehadiran implan berniat jahat, adalah disyorkan untuk melaksanakan permintaan: curl -X POST http://IP-devices/webui/logoutconfirm.html?logon_hash=1 yang, jika dikompromi, akan mengembalikan 18 aksara hash. Anda juga boleh menganalisis log pada peranti untuk sambungan dan operasi luar untuk memasang fail tambahan. %SYS-5-CONFIG_P: Dikonfigurasikan secara pengaturcaraan melalui proses SEP_webui_wsma_http daripada konsol sebagai pengguna dalam talian %SEC_LOGIN-5-WEBLOGIN_SUCCESS: Log Masuk Kejayaan [pengguna: pengguna] [Sumber: source_IP_address] pada 05:41:11 UTC Rab 17 Okt WE2023 -6-INSTALL_OPERATION_INFO: Pengguna: nama pengguna, Operasi Pemasangan: TAMBAH nama fail
Sekiranya berlaku kompromi, untuk mengeluarkan implan, cuma but semula peranti. Akaun yang dibuat oleh penyerang dikekalkan selepas dimulakan semula dan mesti dipadamkan secara manual. Implan terletak dalam fail /usr/binos/conf/nginx-conf/cisco_service.conf dan termasuk 29 baris kod dalam bahasa Lua, menyediakan pelaksanaan arahan sewenang-wenangnya pada peringkat sistem atau antara muka perintah Cisco IOS XE sebagai tindak balas kepada permintaan HTTP dengan set parameter khas .
Sumber: opennet.ru