Prva objava: 17. 10. 2023
Zadnja sprememba: 18.10.2023
CVE oznaka: CVE-2023-20198
Povzetek
Cisco IOS XE naprave, ki imajo dostopen spletni vmesnik (Web UI) so ranljive in omogočajo storilcem zagon poljubne kode na njih. Ranljivost se trenutno aktivno izkorišča.
Opis
Podjetje Cisco je 16. 10. 2023 objavilo ranljivost IOS XE naprav z vklopljeno Web UI možnostjo. Ranljive so fizične in virtualne naprave z vklopljenim spletnim strežnikom na protokolih HTTP in HTTPS. Ranljivost ima najvišjo CVSS oceno (10,0) in omogoča popoln prevzem (kompromitacijo) naprave.
Ranljivost napadalcem omogoča dodajanje novih uporabnikov z največjimi pravicami (privilege level 15). V napadih na večje število ranljivih sistemov so napadalci namestili implant v obliki konfiguracijske datoteke cisco_service.conf, ki v spletnem vmesniku definira stranska vrata, ta pa napadalcem na enostaven način preko HTTP zahtevkov omogočajo izvajanje poljubne kode na sistemu.
Preverjanje kompromitiranosti
Skrbniki Cisco IOS XE naprav z vključenim Web UI vmesnikom lahko preverijo, ali je že prišlo do zlorabe naprave z naslednjim dostopom do spletnega strežnika (velja tako za HTTPS, kot tudi za HTTP protokol):
curl -k -X POST "https://<IP-naslov>/webui/logoutconfirm.html?logon_hash=1"
Če je odgovor oblike heksadecimalnega števila (npr. kot 8c98ee1afcbbfdd5ad), je naprava kompromitirana.
OPOZORILO: zgornje preverjanje deluje samo v primeru, če je bil spletni strežnik po zlorabi ponovno zagnan. Dodatni indikatorji zlorabe so:
- prisotnost konfiguracijske datoteke
/usr/binos/conf/nginx-conf/cisco_service.conf
- prisotnost sistemskih dnevniških zapisov v spodnji obliki:
%SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as user on line %SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: user] [Source: source_IP_address] at 03:42:13 UTC Wed Oct 11 2023
pri čemer je user lahko cisco_tac_admin, cisco_support, ali katerikoli drug neznan uporabnik;
- prisotnost sistemskih dnevniških zapisov v spodnji obliki
%WEBUI-6-INSTALL_OPERATION_INFO: User: username, Install Operation: ADD filename
pri čemer je filename neznano ime datoteke, ki je ne morete povezati z znano namestitvijo;
- prisotnost neznanih uporabniških računov (tudi s privilege level 15)
Rešitev
Do izdaje popravka s strani proizvajalca izklopite Web UI funkcionalnost naprave ali omejite dostop do spletnega vmesnika. Na SI-CERT izvajamo preglede ranljivih naprav. Dne 17.10.2023 zvečer smo obvestili vse skrbnike do takrat zaznanih zlorabljenih sistemov v Sloveniji, bodisi neposredno ali preko operaterjev.
Ukrepi v primeru zaznane zlorabe
V primeru zaznane zlorabe priporočamo izvedbo ukrepov odzivanja na omrežne incidente, pri čemer so vam lahko v pomoč Cisco navodila. Ponovni zagon naprave odstrani implant cisco_service.conf, ki definira stranska vrata v spletnem vmesniku, ne odstrani pa morebitnih novo dodanih uporabniških računov. Te je potrebno ročno odstraniti. Zlorabo prijavite na SI-CERT.
DODATNO OPOZORILO: zgolj odstranitev implanta in uporabniških računov ne odpravi ranljivosti. Do izdaje popravka ranljivosti je potrebno izklopiti ali omejiti dostop do Web UI funkcionalnosti.