【毛病修复】Cisco IOS XE软件Web UI权限提升毛病及修复方法 ...

关于Cisco IOS XE软件Web UI权限提升毛病及修复方法

  
毛病基本信息

Cisco IOS XE Unauthenticatd Remote Command Execution (CVE-2023-20198) (Direct Check)
Severity:Critical
Vulnerability Priority Rating (VPR): 10.0
Risk Factor: Critical
CVSS v3.0 Base Score 10.0

毛病影响范围

运行Cisco IOS XE软件版本16.x及更高版本的产品才会受到影响。 Nexus产品、ACI、传统IOS设备、IOS XR、防火墙(ASA/FTD)和ISE不受该毛病影响。
确认设备是否受影响

1. show version

复制代码

如果检察设备信息，设备软件版本为：Cisco IOS XE
Catalyst L3 Switch Software (CAT9K_IOSXE)

1. Switch Ports Model              SW Version        SW Image              Mode   
2. ------ ----- -----              ----------        ----------            ----   
3. *    1 40    C9300-24T          16.9.4            CAT9K_IOSXE           INSTALL
4.      2 40    C9300-24T          16.9.4            CAT9K_IOSXE           INSTALL

复制代码

毛病修复方法

• 禁用设备的http服务
  

1. no ip http server

复制代码

• 如果设备上仍然需要http服务，毛病修复请使用如下指令
  

1. ip http active-session-modules none
2. ip http secure-active-session-modules none

复制代码

• Cisco 9800 WLC修复毛病方法
  无线控制器需要使用Web GUI，Web-Authentication，如果另有使用自签名的证书等，就无法禁用HTTP服务，只能通过ACL来限定对C9800 WLC Web服务器的访问，仅允许受信任子网/地点的访问。
  

在本次的修复案例中，我们采用第二个方法对Cisco 9300进行了修复，修复后，重新进行毛病扫描，Cisco IOS XE Web UI权限提升毛病修复完成。

保举阅读

• Cisco交换机当地SPAN和远程SPAN的配置
  
• Cisco交换机关于DHCP SNOOPING的配置指令
  
• SSL Medium Strength Cipher Suites Supported (SWEET32)
  
• SDWAN（Software Defined Wide Area Network）概述与上风分析
  
• IPV4过渡IPV6的关键技术NAT(Network AddressTranslation，网络地点转换)
  
• Windows Network File System Remote Code Execution Vulnerability
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。