Në zbatimin e ndërfaqes në internet të përdorur në pajisjet fizike dhe virtuale Cisco të pajisura me sistemin operativ Cisco IOS XE, është identifikuar një cenueshmëri kritike (CVE-2023-20198), e cila lejon, pa vërtetim, akses të plotë në sistem me niveli maksimal i privilegjeve, nëse keni akses në portin e rrjetit nëpërmjet të cilit funksionon ndërfaqja e internetit. Rreziku i problemit përkeqësohet nga fakti se sulmuesit kanë përdorur cenueshmërinë e pazgjidhur për një muaj për të krijuar llogari shtesë "cisco_tac_admin" dhe "cisco_support" me të drejta administratori dhe për të vendosur automatikisht një implant në pajisjet që ofrojnë akses në distancë për të ekzekutuar. komandat në pajisje.
Përkundër faktit se për të siguruar nivelin e duhur të sigurisë, rekomandohet hapja e aksesit në ndërfaqen e internetit vetëm për hostet e zgjedhur ose rrjetin lokal, shumë administratorë lënë mundësinë e lidhjes nga rrjeti global. Në veçanti, sipas shërbimit Shodan, aktualisht ka më shumë se 140 mijë pajisje potencialisht të cenueshme të regjistruara në rrjetin global. Organizata CERT ka regjistruar tashmë rreth 35 mijë pajisje Cisco të sulmuara me sukses me një implant me qëllim të keq të instaluar.
Përpara se të publikoni një rregullim që eliminon cenueshmërinë, si një zgjidhje për të bllokuar problemin, rekomandohet të çaktivizoni serverin HTTP dhe HTTPS në pajisje duke përdorur komandat "pa server ip http" dhe "no ip http safe-server" në konsol, ose kufizoni aksesin në ndërfaqen e internetit në murin e zjarrit. Për të kontrolluar praninë e një implanti me qëllim të keq, rekomandohet të ekzekutoni kërkesën: curl -X POST http://IP-devices/webui/logoutconfirm.html?logon_hash=1 e cila, nëse komprometohet, do të kthejë një 18 karaktere hash. Ju gjithashtu mund të analizoni regjistrin në pajisje për lidhje dhe operacione të jashtme për të instaluar skedarë shtesë. %SYS-5-CONFIG_P: Konfiguruar në mënyrë programore me anë të procesit SEP_webui_wsma_http nga tastiera si përdorues në linjë %SEC_LOGIN-5-WEBLOGIN_SUCCESS: Identifikohu me sukses [përdoruesi: përdoruesi] [Burimi: source_IP_address] në 05:41:11 OTC WE17% UTC We2023d -6-INSTALL_OPERATION_INFO: Përdoruesi: emri i përdoruesit, Operacioni i instalimit: SHTO emrin e skedarit
Në rast kompromisi, për të hequr implantin, thjesht rindizni pajisjen. Llogaritë e krijuara nga sulmuesi mbahen pas një rifillimi dhe duhet të fshihen manualisht. Implanti ndodhet në skedarin /usr/binos/conf/nginx-conf/cisco_service.conf dhe përfshin 29 rreshta kodi në gjuhën Lua, duke siguruar ekzekutimin e komandave arbitrare në nivel sistemi ose ndërfaqen e komandës Cisco IOS XE si përgjigje. në një kërkesë HTTP me një grup të veçantë parametrash.
Burimi: opennet.ru