Skoči na vsebino

SI-CERT 2023-06 / Zlorabe Cisco IOS XE naprav

Prva objava: 17. 10. 2023
Zadnja sprememba: 18.10.2023

CVE oznaka: CVE-2023-20198

Povzetek

Cisco IOS XE naprave, ki imajo dostopen spletni vmesnik (Web UI) so ranljive in omogočajo storilcem zagon poljubne kode na njih. Ranljivost se trenutno aktivno izkorišča.

Opis

Podjetje Cisco je 16. 10. 2023 objavilo ranljivost IOS XE naprav z vklopljeno Web UI možnostjo. Ranljive so fizične in virtualne naprave z vklopljenim spletnim strežnikom na protokolih HTTP in HTTPS. Ranljivost ima najvišjo CVSS oceno (10,0) in omogoča popoln prevzem (kompromitacijo) naprave.

Ranljivost napadalcem omogoča dodajanje novih uporabnikov z največjimi pravicami (privilege level 15). V napadih na večje število ranljivih sistemov so napadalci namestili implant v obliki konfiguracijske datoteke cisco_service.conf, ki v spletnem vmesniku definira stranska vrata, ta pa napadalcem na enostaven način preko HTTP zahtevkov omogočajo izvajanje poljubne kode na sistemu.

Preverjanje kompromitiranosti

Skrbniki Cisco IOS XE naprav z vključenim Web UI vmesnikom lahko preverijo, ali je že prišlo do zlorabe naprave z naslednjim dostopom do spletnega strežnika (velja tako za HTTPS, kot tudi za HTTP protokol):

curl -k -X POST "https://<IP-naslov>/webui/logoutconfirm.html?logon_hash=1" 

Če je odgovor oblike heksadecimalnega števila (npr. kot 8c98ee1afcbbfdd5ad), je naprava kompromitirana.

OPOZORILO: zgornje preverjanje deluje samo v primeru, če je bil spletni strežnik po zlorabi ponovno zagnan. Dodatni indikatorji zlorabe so:

  • prisotnost konfiguracijske datoteke
/usr/binos/conf/nginx-conf/cisco_service.conf
  • prisotnost sistemskih dnevniških zapisov v spodnji obliki:
%SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as user on line
%SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: user] [Source: source_IP_address] at 03:42:13 UTC Wed Oct 11 2023

pri čemer je user lahko cisco_tac_admin, cisco_support, ali katerikoli drug neznan uporabnik;

  • prisotnost sistemskih dnevniških zapisov v spodnji obliki
%WEBUI-6-INSTALL_OPERATION_INFO: User: username, Install Operation: ADD filename

pri čemer je filename neznano ime datoteke, ki je ne morete povezati z znano namestitvijo;

  • prisotnost neznanih uporabniških računov (tudi s privilege level 15)

Rešitev

Do izdaje popravka s strani proizvajalca izklopite Web UI funkcionalnost naprave ali omejite dostop do spletnega vmesnika. Na SI-CERT izvajamo preglede ranljivih naprav. Dne 17.10.2023 zvečer smo obvestili vse skrbnike do takrat zaznanih zlorabljenih sistemov v Sloveniji, bodisi neposredno ali preko operaterjev.

Ukrepi v primeru zaznane zlorabe

V primeru zaznane zlorabe priporočamo izvedbo ukrepov odzivanja na omrežne incidente, pri čemer so vam lahko v pomoč Cisco navodila. Ponovni zagon naprave odstrani implant cisco_service.conf, ki definira stranska vrata v spletnem vmesniku, ne odstrani pa morebitnih novo dodanih uporabniških računov. Te je potrebno ročno odstraniti. Zlorabo prijavite na SI-CERT.

DODATNO OPOZORILO: zgolj odstranitev implanta in uporabniških računov ne odpravi ranljivosti. Do izdaje popravka ranljivosti je potrebno izklopiti ali omejiti dostop do Web UI funkcionalnosti.

Povezave

Preberite tudi

SI-CERT 2024-02 / Kritične ranljivosti v FortiOS

Fortinet je 8.2.2024 izdal obvestili o dveh kritičnih ranljivostih CVE-2024-21762 in CVE-2024-23113 sistema FortiOS sslvpnd in fgfmd.
Več

SI-CERT 2024-01 / Ranljivosti Ivanti Connect Secure VPN

Ivanti je obvestil o dveh 0-day ranljivostih v Ivanti Connect Secure VPN (v preteklosti Ivanti Pulse Secure). Izraba verige ranljivosti omogoča neavtenticiranemu uporabniku izvajanje poljubnih ukazov na sistemu.
Več

SI-CERT 2023-05 / Ranljivost Ivanti Endpoint Manager Mobile (MobileIron)

Ranljivost CVE-2023-35078 Endpoint Manager Mobile (EPMM, prej MobileIron Core) za upravljanje mobilnih naprav podjetja Ivanti omogoča oddaljeni zagon poljubne kode na ranljivem sistemu (RCE, Remote Code Execution). Ranljivost ima najvišjo oceno CVSS (10.0) in se že izrablja v kibernetskih napadih. Skrbnikom svetujemo takojšnjo nadgradnjo.
Več