Bij de implementatie van de webinterface die wordt gebruikt op fysieke en virtuele Cisco-apparaten die zijn uitgerust met het Cisco IOS XE-besturingssysteem, is een kritieke kwetsbaarheid (CVE-2023-20198) geïdentificeerd waardoor, zonder authenticatie, volledige toegang tot het systeem kan worden verkregen met het maximale privilegeniveau, als u toegang heeft tot de netwerkpoort via welke de webinterface werkt. Het gevaar van het probleem wordt verergerd door het feit dat aanvallers de niet-gepatchte kwetsbaarheid al een maand lang gebruiken om extra accounts “cisco_tac_admin” en “cisco_support” met beheerdersrechten aan te maken, en om automatisch een implantaat te plaatsen op apparaten die externe toegang bieden om de aanvallen uit te voeren. opdrachten op het apparaat.
Ondanks het feit dat het, om het juiste beveiligingsniveau te garanderen, wordt aanbevolen om de toegang tot de webinterface alleen open te stellen voor geselecteerde hosts of het lokale netwerk, laten veel beheerders de mogelijkheid over om verbinding te maken vanaf het wereldwijde netwerk. Volgens de Shodan-dienst zijn er momenteel meer dan 140 potentieel kwetsbare apparaten geregistreerd op het wereldwijde netwerk. De CERT-organisatie heeft al ongeveer 35 succesvol aangevallen Cisco-apparaten geregistreerd waarop een kwaadaardig implantaat was geïnstalleerd.
Voordat u een oplossing publiceert die de kwetsbaarheid elimineert, wordt het als tijdelijke oplossing om het probleem te blokkeren aanbevolen om de HTTP- en HTTPS-server op het apparaat uit te schakelen met behulp van de opdrachten “no ip http server” en “no ip http secure-server” in de console of beperk de toegang tot de webinterface op de firewall. Om te controleren op de aanwezigheid van een kwaadaardig implantaat, wordt aanbevolen om het verzoek uit te voeren: curl -X POST http://IP-devices/webui/logoutconfirm.html?logon_hash=1, dat, als het wordt gecompromitteerd, een 18-karakter retourneert hasj. U kunt ook het logboek op het apparaat analyseren op externe verbindingen en bewerkingen om extra bestanden te installeren. %SYS-5-CONFIG_P: programmatisch geconfigureerd door proces SEP_webui_wsma_http vanaf console als gebruiker online %SEC_LOGIN-5-WEBLOGIN_SUCCESS: Inloggen geslaagd [gebruiker: gebruiker] [Bron: source_IP_address] om 05:41:11 UTC wo 17 oktober 2023 %WEBUI -6-INSTALL_OPERATION_INFO: Gebruiker: gebruikersnaam, Installatiebewerking: ADD bestandsnaam
Als er een probleem is, kunt u het implantaat eenvoudigweg opnieuw opstarten om het implantaat te verwijderen. Accounts die door de aanvaller zijn aangemaakt, blijven na een herstart behouden en moeten handmatig worden verwijderd. Het implantaat bevindt zich in het bestand /usr/binos/conf/nginx-conf/cisco_service.conf en bevat 29 regels code in de Lua-taal, waardoor willekeurige opdrachten op systeemniveau of als reactie op de Cisco IOS XE-opdrachtinterface kunnen worden uitgevoerd naar een HTTP-verzoek met een speciale set parameters.

Bron: opennet.ru
