I implementeringen av nettgrensesnittet som brukes på fysiske og virtuelle Cisco-enheter utstyrt med Cisco IOS XE-operativsystemet, er det identifisert en kritisk sårbarhet (CVE-2023-20198), som tillater, uten autentisering, full tilgang til systemet med maksimalt nivå av privilegier, hvis du har tilgang til nettverksporten som webgrensesnittet fungerer gjennom. Faren for problemet forverres av det faktum at angripere har brukt den uopprettede sårbarheten i en måned for å opprette flere kontoer "cisco_tac_admin" og "cisco_support" med administratorrettigheter, og for å automatisk plassere et implantat på enheter som gir ekstern tilgang for å utføre kommandoer på enheten.
Til tross for at det for å sikre riktig sikkerhetsnivå anbefales å åpne tilgang til nettgrensesnittet kun for utvalgte verter eller det lokale nettverket, lar mange administratorer muligheten til å koble til fra det globale nettverket. Spesielt, ifølge Shodan-tjenesten, er det for øyeblikket mer enn 140 tusen potensielt sårbare enheter registrert på det globale nettverket. CERT-organisasjonen har allerede registrert rundt 35 tusen vellykket angrepet Cisco-enheter med et skadelig implantat installert.
Før du publiserer en løsning som eliminerer sårbarheten, som en løsning for å blokkere problemet, anbefales det å deaktivere HTTP- og HTTPS-serveren på enheten ved å bruke kommandoene "no ip http server" og "no ip http secure-server" i konsoll, eller begrense tilgangen til nettgrensesnittet på brannmuren. For å sjekke om det er et ondsinnet implantat, anbefales det å utføre forespørselen: curl -X POST http://IP-devices/webui/logoutconfirm.html?logon_hash=1 som, hvis kompromittert, vil returnere 18 tegn hasj. Du kan også analysere loggen på enheten for eksterne tilkoblinger og operasjoner for å installere tilleggsfiler. %SYS-5-CONFIG_P: Konfigurert programmatisk ved prosess SEP_webui_wsma_http fra konsollen som bruker på linje %SEC_LOGIN-5-WEBLOGIN_SUCCESS: Påloggingssuksess [bruker: bruker] [Kilde: source_IP_address] kl. 05:41:11 UTC ons 17. okt. 2023 %WEBUI -6-INSTALL_OPERATION_INFO: Bruker: brukernavn, Installasjonsoperasjon: ADD filnavn
I tilfelle kompromittering, for å fjerne implantatet, starter du bare enheten på nytt. Kontoer opprettet av angriperen beholdes etter en omstart og må slettes manuelt. Implantatet er plassert i filen /usr/binos/conf/nginx-conf/cisco_service.conf og inkluderer 29 linjer med kode på Lua-språket, som gir kjøring av vilkårlige kommandoer på systemnivå eller Cisco IOS XE-kommandogrensesnittet som svar til en HTTP-forespørsel med et spesielt sett med parametere.
Kilde: opennet.ru