Ninu imuse wiwo wẹẹbu ti a lo lori awọn ẹrọ Sisiko ti ara ati foju ti o ni ipese pẹlu ẹrọ iṣẹ ṣiṣe Sisiko IOS XE, ailagbara pataki kan (CVE-2023-20198) ti ṣe idanimọ, eyiti o fun laaye, laisi ijẹrisi, iwọle ni kikun si eto pẹlu ipele ti o pọju ti awọn anfani, ti o ba ni iwọle si ibudo nẹtiwọki nipasẹ eyiti wiwo wẹẹbu nṣiṣẹ. Ewu ti iṣoro naa buru si nipasẹ otitọ pe awọn ikọlu ti nlo ailagbara ti ko ni aabo fun oṣu kan lati ṣẹda awọn akọọlẹ afikun “cisco_tac_admin” ati “cisco_support” pẹlu awọn ẹtọ oludari, ati lati gbe gbingbin laifọwọyi sori awọn ẹrọ ti o pese iraye si latọna jijin lati ṣiṣẹ. pipaṣẹ lori ẹrọ.
Bi o ti jẹ pe lati rii daju pe ipele aabo to dara, o niyanju lati ṣii iraye si wiwo wẹẹbu nikan si awọn ọmọ-ogun ti a yan tabi nẹtiwọọki agbegbe, ọpọlọpọ awọn alakoso fi aṣayan ti sopọ lati nẹtiwọọki agbaye. Ni pato, ni ibamu si iṣẹ Shodan, Lọwọlọwọ diẹ sii ju 140 ẹgbẹrun awọn ẹrọ ti o ni ipalara ti o gbasilẹ lori nẹtiwọki agbaye. Ajo CERT ti gbasilẹ tẹlẹ nipa 35 ẹgbẹrun ni aṣeyọri ti kọlu awọn ẹrọ Sisiko pẹlu fifi sori ẹrọ irira.
Ṣaaju ki o to ṣe atẹjade atunṣe kan ti o yọkuro ailagbara naa, bi adaṣe lati dènà iṣoro naa, o gba ọ niyanju lati mu HTTP ati olupin HTTPS kuro lori ẹrọ naa nipa lilo awọn aṣẹ “ko si olupin ip http” ati “ko si ip http ni aabo-olupin” ninu ẹrọ naa. console, tabi idinwo wiwọle si awọn ayelujara ni wiwo lori ogiriina. Lati ṣayẹwo wiwa ifisi irira, o gba ọ niyanju lati mu ibeere naa ṣiṣẹ: curl -X POST http://IP-devices/webui/logoutconfirm.html?logon_hash=1 eyiti, ti o ba ti gbogun, yoo da ohun kikọ 18 pada. elile. O tun le ṣe itupalẹ akọọlẹ lori ẹrọ naa fun awọn asopọ ajeji ati awọn iṣẹ lati fi awọn faili afikun sii. % SYS-5-CONFIG_P: Tunto ni eto nipasẹ ilana SEP_webui_wsma_http lati console bi olumulo lori laini% SEC_LOGIN-5-WEBLOGIN_SUCCESS: Wọle Aṣeyọri [olumulo: olumulo] [Orisun: orisun_IP_address] ni Oṣu Kẹwa 05:41:11 UTC Wed -17-INSTALL_OPERATION_INFO: Olumulo: orukọ olumulo, Fi sori ẹrọ: ADD filename
Ni ọran ti adehun, lati yọ ifisinu kuro, nirọrun tun atunbere ẹrọ naa. Awọn akọọlẹ ti a ṣẹda nipasẹ ikọlu naa wa ni idaduro lẹhin atunbẹrẹ ati pe o gbọdọ paarẹ pẹlu ọwọ. Afisinu naa wa ninu faili /usr/binos/conf/nginx-conf/cisco_service.conf ati pẹlu awọn laini koodu 29 ni ede Lua, ti o pese ipaniyan ti awọn aṣẹ lainidii ni ipele eto tabi wiwo pipaṣẹ Cisco IOS XE ni esi. si ibeere HTTP pẹlu eto pataki ti awọn paramita.
orisun: opennet.ru