Uppfært 20.10.2023
Cisco hefur að nýlega tilkynnt um alvarlegan núlldagsveikleika, CVE-2023-20198, í IOS XE hugbúnaði. Veikleikinn er með CVSSv3 skor upp á 10 [1] og ógnaraðilar eru þegar að misnota veikleikann í árásum. Rannsóknir sýna að yfir 40,000 tæki á heimsvísu hafa verið sýkt, enn hefur engin uppfærsla eða sniðganga (e. workaround) verið gefin út. CERT-IS mælir með að kanna hvort þessi hugbúnaður sé í notkun, með opið á web UI portið og fara í viðeigandi aðgerðir í framhaldi.
Veikleikinn gerir það mögulegt fyrir óauðkennda árásaraðila að búa til aðgang með hæstu réttindum (e. privilege level 15) og þar með taka fulla stjórn á búnaðinum.
Veikleikinn hefur áhrif á tæki sem eru með kveikt á Web UI virkni og nota HTTP eða HTTPS netþjónustu. Eftirfarandi hjálparspurningar geta hjálpað við að meta hvort og hvernig á að bregðast við:
Ertu með IOS XE keyrandi?
- Nei. Engin hætta. Engin frekari aðgerð er nauðsynleg.
- Já. Er kveikt á ip http server eða ip http secure-server stillingu?
- Nei. Ekki er hægt að nýta veikleikann. Engin frekari aðgerð er nauðsynleg.
- Já. Keyrir þú þjónustur sem krefjast HTTP/S samskipta (t.d. eWLC)?
- Nei. Slökkva á HTTP Server virkni.
- Til að slökkva á HTTP Server virkni, notaðu no ip http server eða no ip http secure-server skipunina í stillingum (e. global configuration mode).
- Já. Takmarkaðu aðgang að þessum þjónustum eins mikið og hægt er. T.d. aðeins gefa treystum netum (e. trusted networks) aðgang. Muna að vista stillingar þannig að ef búnaður endurræsist að hann ræsist á þessum breyttu stillingum.
- Nei. Slökkva á HTTP Server virkni.
Til að athuga hvort að veikleikinn hefur verið misnotaður er hægt að keyra eftirfarandi skipun á IP tölu þjónustunnar (mikilvægt að senda þetta úr tölvu sem hefur aðgang að þjónustunni):
- curl -k -X POST „https://systemip/webui/logoutconfirm.html?logon_hash=1″
Ef það er búið að vásetja (e. compromise) þjóninn þá ætti skipunin að svara með 18 stafa hexadecimal streng (t.d. “1a80b7389ccd0a5dab”). Einnig er hægt að nota eftirfarandi Python forrit sem skannar og útskýrir niðurstöðurnar (./CVE-2023-20198.py -f ips.txt) [3].
Frekari vísar:
- IP tölur: 5.149.249[.]74, 154.53.56[.]231
- Nýir notendur í kerfisskrám: cisco_tac_admin, cisco_support eða aðrir notendur sem kerfisstjóri kannast ekki við
- Nýjar og óþekktar skrár sem hafa verið settar upp á þjóninum
Endurræsing af sýktum tækjum fjarlægir spilliforritið en notendurnir sem búnir voru til af ógnaraðilunum eru varanlegir (e. persistent). Cisco telur að ógnaraðilinn safni upplýsingum um tækið, eyði notandareikningum og kerfisskrám til að fela ummerki eftir sig.
Cisco er enn að rannsaka málið og hefur lofað frekari upplýsingum.
Ef þið hafið frekari spurningar ekki hika við að hafa samband við okkur í gegnum [email protected].
Tilvísanir:
[1] – https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z
[2] – https://www.bleepingcomputer.com/news/security/over-40-000-cisco-ios-xe-devices-infected-with-backdoor-using-zero-day/
[3] – https://github.com/cert-orangecyberdefense/Cisco_CVE-2023-20198
[4] – https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/