Firma Cisco opublikowała informację o krytycznej podatności CVE-2023-20198 w funkcjonalności Web User Interface oprogramowania Cisco IOS XE. Luka umożliwia nieautoryzowanemu użytkownikowi utworzenie konta administratora z poziomu interfejsu użytkownika. Tym samym możliwe jest przejęcie kontroli nad urządzeniem docelowym.
Podatność była aktywnie używana w atakach od 18 września. W oczekiwaniu na poprawki bezpieczeństwa, producent zaleca wyłączenie funkcji serwera HTTP w systemach dostępnych z poziomu Internetu.
Szczegóły podatności i rekomendacje
Podatność dotyczy wszystkich wersji oprogramowania Cisco IOS XE, dla których włączona jest funkcjonalność web UI.
Web UI jest wbudowanym narzędziem do zarządzania systemem, opartym na graficznym interfejsie użytkownika. Nie powinno być one dostępne z poziomu Internetu.
Dzięki wykorzystaniu podatności w systemie, atakujący ma możliwość utworzenia nowego konta administratora, które w dalszych krokach służy do utworzenia implantu, który składa się z pliku konfiguracyjnego cisco_service.conf. Plik ten definiuje nowy punkt końcowy serwera WWW, używany do interakcji z implantem. Aby implant stał się aktywny, serwer sieciowy musi zostać ponownie uruchomiony. Punkt końcowy przyjmuje określone parametry, które umożliwiają atakującemu wykonanie dowolnych poleceń na poziomie systemu.
Firma Cisco rekomenduje natychmiastowe wyłączenie funkcji serwera HTTP dla wszystkich instancji Cisco IOS XE dostępnych z Internetu.
Wykrycie prób wykorzystania podatności
Firma Cisco rekomenduje wszystkim organizacjom, które mogą być dotknięte atakiem, natychmiastowe wdrożenie działań na podstawie poradnika Cisco Product Security Incident Response Team PSIRT.
Organizacje powinny zweryfikować, czy nie zostały utworzone nowe konta użytkowników, które nie są znane administratorom sieci. W dalszej kolejności należy zbadać, czy nie został wprowadzony do systemu implant, można tego dokonać wykonując polecenie ze stacji roboczej, posiadającej dostęp do systemu:
curl -k -X POST "https://systemip/webui/logoutconfirm.html?logon_hash=1"
W przypadku gdy w odpowiedzi zwracany jest ciąg heksadecymalny, wówczas świadczy to o wprowadzeniu implantu do systemu przez atakującego.
W przypadku wykrycia prób wykorzystania podatności, zalecamy niezwłoczną weryfikację logów, a następnie rozpoczęcie procedury obsługi incydentu oraz skontaktowanie się z właściwym zespołem CSIRT: