Cisco IOS XE လည်ပတ်မှုစနစ်တွင် တပ်ဆင်ထားသော ရုပ်ပိုင်းဆိုင်ရာနှင့် virtual Cisco စက်ပစ္စည်းများတွင် အသုံးပြုသည့် ဝဘ်အင်တာဖေ့စ်ကို အကောင်အထည်ဖော်ရာတွင် အရေးကြီးသော အားနည်းချက်တစ်ခု (CVE-2023-20198) ကို ဖော်ထုတ်ခဲ့ပြီး၊ အထောက်အထားမခိုင်လုံဘဲ၊ စနစ်သို့ အပြည့်အဝဝင်ရောက်ခွင့်ကို ခွင့်ပြုထားသည်။ ဝဘ်အင်တာဖေ့စ်လုပ်ဆောင်သည့် ကွန်ရက်ပေါက်ကို သင်ဝင်ရောက်ခွင့်ရှိပါက အမြင့်ဆုံးအခွင့်အရေးများ။ တိုက်ခိုက်သူများသည် "cisco_tac_admin" နှင့် "cisco_support" အကောင့်များကို စီမံခန့်ခွဲပိုင်ခွင့်နှင့် နောက်ထပ်အကောင့်များဖန်တီးရန် တစ်လကြာ patched unpatched vulnerability ကို အသုံးပြုထားခြင်းကြောင့် ပြဿနာ၏အန္တရာယ်မှာ ပိုမိုဆိုးရွားလာကာ execute ပြုလုပ်ရန် အဝေးမှဝင်ရောက်ခွင့်ရှိသော စက်များတွင် အလိုအလျောက်ထည့်သွင်းထားခြင်းဖြစ်သည်။ စက်ပေါ်ရှိ အမိန့်များ။
သင့်လျော်သောလုံခြုံရေးအဆင့်ကိုသေချာစေရန်၊ ရွေးချယ်ထားသော hosts သို့မဟုတ် local network အတွက်သာ web interface သို့ဝင်ရောက်ခွင့်ကိုဖွင့်ရန်အကြံပြုထားသော်လည်း၊ စီမံခန့်ခွဲသူအများအပြားသည် global network မှချိတ်ဆက်ရန်ရွေးချယ်ခွင့်ကိုချန်ထားသည်။ အထူးသဖြင့်၊ Shodan ဝန်ဆောင်မှုအရ၊ လက်ရှိတွင် ကမ္ဘာလုံးဆိုင်ရာကွန်ရက်ပေါ်တွင် မှတ်တမ်းတင်ထားသည့် အားနည်းချက်ဖြစ်နိုင်သည့် စက်ပစ္စည်း ၁၄၀,ဝဝဝ ကျော်ရှိသည်။ CERT အဖွဲ့အစည်းသည် အန္တရာယ်ရှိသော အစားထိုးထည့်သွင်းထားသော Cisco စက်ပစ္စည်းများကို အောင်မြင်စွာ တိုက်ခိုက်ခဲ့သည့် 140 ခန့်ကို မှတ်တမ်းတင်ထားပြီးဖြစ်သည်။
အားနည်းချက်ကို ဖယ်ရှားပေးသည့် ပြုပြင်မှုတစ်ခု မထုတ်ဝေမီ၊ ပြဿနာကို ပိတ်ဆို့ရန် ဖြေရှင်းချက်အနေဖြင့်၊ "no ip http server" နှင့် "no ip http secure-server" ဟူသော အမိန့်များကို အသုံးပြု၍ စက်ပေါ်ရှိ HTTP နှင့် HTTPS ဆာဗာကို ပိတ်ရန် အကြံပြုထားသည်။ ကွန်ဆိုးလ် သို့မဟုတ် firewall ရှိ ဝဘ်အင်တာဖေ့စ်သို့ ဝင်ရောက်ခွင့်ကို ကန့်သတ်ပါ။ အန္တရာယ်ရှိသော အစားထိုးထည့်သွင်းခြင်းရှိမရှိ စစ်ဆေးရန်၊ တောင်းဆိုချက်ကို လုပ်ဆောင်ရန် အကြံပြုလိုသည်- curl -X POST http://IP-devices/webui/logoutconfirm.html?logon_hash=1 သည် အပေးအယူလုပ်ခံရပါက စာလုံး 18 လုံး ပြန်ပေးမည် hash အပိုဖိုင်များကို ထည့်သွင်းရန်အတွက် ပြင်ပချိတ်ဆက်မှုများနှင့် လုပ်ဆောင်မှုများအတွက် စက်ပစ္စည်းပေါ်ရှိ မှတ်တမ်းကိုလည်း ပိုင်းခြားစိတ်ဖြာနိုင်သည်။ %SYS-5-CONFIG_P- SEP_webui_wsma_http လိုင်းပေါ်ရှိ အသုံးပြုသူအဖြစ် ကွန်ဆိုးလ်မှ SEP_webui_wsma_http လုပ်ငန်းစဉ်ဖြင့် ပရိုဂရမ်ဖြင့် စီစဉ်သတ်မှတ်ထားသည် %SEC_LOGIN-5-WEBLOGIN_SUCCESS- အကောင့်ဝင်ခြင်း အောင်မြင်ခြင်း [user: user] [Source: source_IP_address] 05:41:11 UTC Wed 17 Oct 2023% -6-INSTALL_OPERATION_INFO- အသုံးပြုသူ- အသုံးပြုသူအမည်၊ ထည့်သွင်းဆောင်ရွက်မှု- ADD ဖိုင်အမည်
အပေးအယူလုပ်သောအခါတွင်၊ implant ကိုဖယ်ရှားရန်၊ စက်ပစ္စည်းကိုပြန်လည်စတင်ပါ။ တိုက်ခိုက်သူမှ ဖန်တီးထားသော အကောင့်များကို ပြန်လည်စတင်ပြီးနောက်တွင် ထိန်းသိမ်းထားပြီး လူကိုယ်တိုင် ဖျက်ရပါမည်။ implant သည် ဖိုင် /usr/binos/conf/nginx-conf/cisco_service.conf တွင် တည်ရှိပြီး Lua ဘာသာစကားတွင် ကုဒ် 29 လိုင်း ပါဝင်ပြီး စနစ်အဆင့်တွင် မတရားသော ညွှန်ကြားချက်များကို လုပ်ဆောင်ခြင်း သို့မဟုတ် Cisco IOS XE အမိန့်ပေးသည့် အင်တာဖေ့စ် တုံ့ပြန်မှုတွင် ပါဝင်သည်။ အထူးကန့်သတ်ဘောင်များပါရှိသော HTTP တောင်းဆိုချက်သို့။
source: opennet.ru