Skoči na vsebino

SI-CERT 2023-06 / Zlorabe Cisco IOS XE naprav

Prva objava: 17. 10. 2023
Zadnja sprememba: 18.10.2023

CVE oznaka: CVE-2023-20198

Povzetek

Cisco IOS XE naprave, ki imajo dostopen spletni vmesnik (Web UI) so ranljive in omogočajo storilcem zagon poljubne kode na njih. Ranljivost se trenutno aktivno izkorišča.

Opis

Podjetje Cisco je 16. 10. 2023 objavilo ranljivost IOS XE naprav z vklopljeno Web UI možnostjo. Ranljive so fizične in virtualne naprave z vklopljenim spletnim strežnikom na protokolih HTTP in HTTPS. Ranljivost ima najvišjo CVSS oceno (10,0) in omogoča popoln prevzem (kompromitacijo) naprave.

Ranljivost napadalcem omogoča dodajanje novih uporabnikov z največjimi pravicami (privilege level 15). V napadih na večje število ranljivih sistemov so napadalci namestili implant v obliki konfiguracijske datoteke cisco_service.conf, ki v spletnem vmesniku definira stranska vrata, ta pa napadalcem na enostaven način preko HTTP zahtevkov omogočajo izvajanje poljubne kode na sistemu.

Preverjanje kompromitiranosti

Skrbniki Cisco IOS XE naprav z vključenim Web UI vmesnikom lahko preverijo, ali je že prišlo do zlorabe naprave z naslednjim dostopom do spletnega strežnika (velja tako za HTTPS, kot tudi za HTTP protokol):

curl -k -X POST "https://<IP-naslov>/webui/logoutconfirm.html?logon_hash=1" 

Če je odgovor oblike heksadecimalnega števila (npr. kot 8c98ee1afcbbfdd5ad), je naprava kompromitirana.

OPOZORILO: zgornje preverjanje deluje samo v primeru, če je bil spletni strežnik po zlorabi ponovno zagnan. Dodatni indikatorji zlorabe so:

  • prisotnost konfiguracijske datoteke
/usr/binos/conf/nginx-conf/cisco_service.conf
  • prisotnost sistemskih dnevniških zapisov v spodnji obliki:
%SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as user on line
%SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: user] [Source: source_IP_address] at 03:42:13 UTC Wed Oct 11 2023

pri čemer je user lahko cisco_tac_admin, cisco_support, ali katerikoli drug neznan uporabnik;

  • prisotnost sistemskih dnevniških zapisov v spodnji obliki
%WEBUI-6-INSTALL_OPERATION_INFO: User: username, Install Operation: ADD filename

pri čemer je filename neznano ime datoteke, ki je ne morete povezati z znano namestitvijo;

  • prisotnost neznanih uporabniških računov (tudi s privilege level 15)

Rešitev

Do izdaje popravka s strani proizvajalca izklopite Web UI funkcionalnost naprave ali omejite dostop do spletnega vmesnika. Na SI-CERT izvajamo preglede ranljivih naprav. Dne 17.10.2023 zvečer smo obvestili vse skrbnike do takrat zaznanih zlorabljenih sistemov v Sloveniji, bodisi neposredno ali preko operaterjev.

Ukrepi v primeru zaznane zlorabe

V primeru zaznane zlorabe priporočamo izvedbo ukrepov odzivanja na omrežne incidente, pri čemer so vam lahko v pomoč Cisco navodila. Ponovni zagon naprave odstrani implant cisco_service.conf, ki definira stranska vrata v spletnem vmesniku, ne odstrani pa morebitnih novo dodanih uporabniških računov. Te je potrebno ročno odstraniti. Zlorabo prijavite na SI-CERT.

DODATNO OPOZORILO: zgolj odstranitev implanta in uporabniških računov ne odpravi ranljivosti. Do izdaje popravka ranljivosti je potrebno izklopiti ali omejiti dostop do Web UI funkcionalnosti.

Povezave

Preberite tudi

SI-CERT 2024-07 / Ranljivost OpenPrinting CUPS sistema v GNU/Linux

Veriga ranljivosti v sistemu OpenPrinting CUPS napadalcu omogoča, da ob določenih pogojih izvede poljubno programsko kodo na ranljivem sistemu s pravicami uporabnika 'lp'
Več

SI-CERT 2024-06 / Kritična ranljivost GeoServer (CVE-2024-36401)

Strežnik GeoServer vsebuje kritično ranljivost, ki omogoča izvajanje programske kode na daljavo. Ranljivost se že izrablja v omrežnih napadih.
Več

SI-CERT 2024-05 / Ranljivost Check Point Remote Access VPN

Omrežni varnostni prehodi Check Point, ki imajo omogočen oddaljeni dostop VPN ali uporabljajo Check Point Mobile Secure Workspace with Capsule, so ranljivi na preskakovanje poti, ki omogoča branje poljubnih datotek z datotečnega sistema.
Več