2023年10月17日,Cisco发布了IOS XE 软件的风险通告,毛病编号为CVE-2023-20198,影响全部启用了 Web UI 功能的 Cisco IOS XE 设备,毛病等级:高危,毛病评分:10。该毛病已出如今野使用。
Web UI是一种基于 GUI 的嵌入式系统管理工具,可以大概提供系统设置、简化系统摆设和可管理性以及增强用户体验。它带有默认映像,无需在系统上安装任何许可证。Web UI 可用于构建立置以及监控系统和清除系统故障。
Cisco IOS XE 严重性毛病:CVE-2023-20198
思科 Talos 研究人员今天警告说,威胁行为者正在使用一个影响运行思科 IOS XE 软件的网络设备的以前未知的毛病 (CVE-2023-20198) 来控制设备并安装植入物。
CVE-2023-20198 是安装在各种思科控制器、互换机、边沿、分支机构和假造路由器上的思科 IOS XE 软件 Web UI 功能中的一个权限提拔毛病。
它答应未经身份验证的长途攻击者在受影响的系统上创建具有权限级别 15 访问权限的帐户,即可以运行全部命令并可以举行设置更改的最高访问级别。
该毛病会影响运行 Cisco IOS XE 软件的物理和假造设备,并且只有在启用 Web UI 时才气被使用。
攻击过程
在思科威胁分析师分析的多次攻击中,威胁行为者使用 CVE-2023-20198 创建本地用户帐户,并使用 Web UI 中的旧命令注入缺陷 (CVE-2021-1435) 来安装植入物。
在第一次攻击中,攻击者仅限于在用户名“cisco_tac_admin”下创建本地用户帐户。接着第二次,攻击者在用户名“cisco_support”下创建了一个本地用户帐户,然后继续用作植入物的设置文件(“Cisco_service.conf”)。
设置文件定义了用于与植入物交互的新Web服务器端点(URI路径)。该端点接收某些参数 ,这些参数答应攻击者在系统级别或 IOS 级别执行任意命令。要使植入物变为运行状态,必须重新启动 Web 服务器,在至少一个观察到的案例中,服务器没有重新启动,因此尽管安装了植入物,但植入物从未处于活动状态。
植入步调在重新启动后无法保留,但攻击者创建的本地用户帐户可以。
研究人员还发现:尽管 CVE-2021-1435 的补丁已在 2021 年提供,并修复,但也看到针对 CVE-2021-1435 的设备还是通过了尚未确定的机制乐成安装了植入物。
植入物生存在文件路径“/usr/binos/conf/nginx-conf/cisco_service.conf”中。
它包含两个由十六进制字符组成的变量字符串。
植入物基于 Lua 编程语言
由 29 行代码组成,便于任意命令执行。攻击者必须向设备创建HTTP POST哀求,该哀求提供以下三个功能:
- 第一个函数由“menu”参数决定,该参数必须存在并且必须是非空的。这将返回一串由正斜杠困绕的数字,我们怀疑这大概代表植入物的版本或安装日期。
- 第二个函数由“logon_hash”参数指示,该参数必须设置为“1”。这将返回一个 18 个字符的十六进制字符串,该字符串被硬编码到植入物中。
- 第三个函数也由“logon_hash”参数决定,该参数查抄参数是否与硬编码到植入物中的 40 个字符的十六进制字符串匹配。这里使用的第二个参数是“common_type”,它必须是非空的,其值决定了代码是在系统级别还是 IOS 级别执行。如果代码在系统级别执行,则该参数必须设置为“子系统”,如果在IOS级别执行,则该参数必须为“iox”。IOX 命令以权限级别 15 执行。
检测及暂时修补
思科正在开发CVE-2023-20198的补丁,但与此同时,发起管理员在全部运行Cisco IOS XE软件的面向互联网的系统上禁用HTTP服务器功能(即Web UI)。
一、辨认植入物:
辨认植入物是否已安装的一种方法是对设备运行以下命令,此中“DEVICEIP”部分是要查抄的设备 IP 地址的占位符:
- curl -k -X POST "https[:]//DEVICEIP/webui/logoutconfirm.html?logon_hash=1"
帐户的名称大概为 cisco_tac_admin 或 cisco_support。
三、查抄日记:
1、查抄系统日记中是否存在以下任何日记消息,此中“用户”大概是“cisco_tac_admin”、“cisco_support”或任何网络管理员未知的已设置本地用户:
- %SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as user on line
- %SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: user] [Source: source_IP_address] at 03:42:13 UTC Wed Oct 11 2023
对于用户访问 Web UI 的每个实例,都会表现 %SYS-5-CONFIG_P 消息。要查找的指示器是消息中存在的新用户名或未知用户名。
2、查抄系统日记中是否有以下消息,此中文件名是与预期文件安装操作无关的未知文件名:
- %WEBUI-6-INSTALL_OPERATION_INFO: User: username, Install Operation: ADD filename It should go without saying but the HTTP and HTTPS server feature should never be enabled on internet-facing systems as is consistent with long-established best practices. Cisco reiterated the guidance in Monday’s advisory.
思科通告:Cisco IOS XE Software Web UI Privilege Escalation Vulnerability
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
