Sa pagpapatupad ng web interface na ginagamit sa mga pisikal at virtual na Cisco device na nilagyan ng Cisco IOS XE operating system, isang kritikal na kahinaan (CVE-2023-20198) ang natukoy, na nagbibigay-daan, nang walang pagpapatunay, ganap na pag-access sa system na may pinakamataas na antas ng mga pribilehiyo, kung mayroon kang access sa network port kung saan gumagana ang web interface. Ang panganib ng problema ay pinalala ng katotohanan na ang mga umaatake ay gumagamit ng hindi na-patch na kahinaan sa loob ng isang buwan upang lumikha ng mga karagdagang account na "cisco_tac_admin" at "cisco_support" na may mga karapatan ng administrator, at upang awtomatikong maglagay ng implant sa mga device na nagbibigay ng malayuang pag-access upang maipatupad. mga utos sa device.
Sa kabila ng katotohanan na upang matiyak ang wastong antas ng seguridad, inirerekumenda na buksan ang access sa web interface lamang sa mga napiling host o lokal na network, maraming mga administrador ang nag-iiwan ng opsyon na kumonekta mula sa pandaigdigang network. Sa partikular, ayon sa serbisyo ng Shodan, kasalukuyang mayroong higit sa 140 libong mga potensyal na mahina na aparato na naitala sa pandaigdigang network. Ang organisasyon ng CERT ay nakapagtala na ng humigit-kumulang 35 libong matagumpay na umatake sa mga Cisco device na may naka-install na malisyosong implant.
Bago mag-publish ng isang pag-aayos na nag-aalis ng kahinaan, bilang isang solusyon upang harangan ang problema, inirerekomenda na huwag paganahin ang HTTP at HTTPS server sa device gamit ang mga command na "no ip http server" at "no ip http secure-server" sa console, o limitahan ang access sa web interface sa firewall. Upang masuri ang pagkakaroon ng malisyosong implant, inirerekumenda na isagawa ang kahilingan: curl -X POST http://IP-devices/webui/logoutconfirm.html?logon_hash=1 na, kung makompromiso, ay magbabalik ng 18-character hash. Maaari mo ring pag-aralan ang log sa device para sa mga extraneous na koneksyon at operasyon upang mag-install ng mga karagdagang file. %SYS-5-CONFIG_P: Na-configure sa programmatically sa pamamagitan ng proseso SEP_webui_wsma_http mula sa console bilang user sa linya %SEC_LOGIN-5-WEBLOGIN_SUCCESS: Tagumpay sa Pag-login [user: user] [Source: source_IP_address] sa 05:41:11 UTC Miy Okt 17 %BU2023 -6-INSTALL_OPERATION_INFO: User: username, Install Operation: ADD filename
Sa kaso ng kompromiso, upang alisin ang implant, i-reboot lang ang device. Ang mga account na ginawa ng umaatake ay pinananatili pagkatapos ng pag-restart at dapat na manual na tanggalin. Ang implant ay matatagpuan sa file /usr/binos/conf/nginx-conf/cisco_service.conf at may kasamang 29 na linya ng code sa wikang Lua, na nagbibigay ng pagpapatupad ng mga arbitrary na command sa antas ng system o ang Cisco IOS XE command interface bilang tugon sa isang kahilingan sa HTTP na may espesyal na hanay ng mga parameter .
Pinagmulan: opennet.ru