[Warning] Kritische Sicherheitslücke in Cisco IOS XE - aktiv ausgenützt
Michael Schlagenhaufer
schlagenhaufer at cert.at
Wed Oct 18 12:11:45 CEST 2023
18. Oktober 2023
Beschreibung
Eine kritische Sicherheitslücke in Cisco IOS XE erlaubt es
unauthentifizierten Angreifer:innen privilegierte Accounts anzulegen,
was eine vollständige Kompromittierung verwundbarer Systeme ermöglicht.
Betroffen sind sowohl physische als auch virtuelle Systeme, deren
Webinterface über das Internet oder andere, nicht vertrauenswürdige
Netzwerke erreichbar ist. Die Schwachstelle wird bereits von
verschiedenen Bedrohungsakteuren breitflächig ausgenutzt.
CVE-Nummer(n): CVE-2023-20198
CVSS Base Score: 10.0
Auswirkungen
Durch die Erstellung privilegierter Accounts ist es Angreifer:innen
möglich, die vollständige Kontrolle über ein verwundbares System zu
erlangen.
Betroffene Systeme
Die Schwachstelle betrifft alle Versionen von Cisco IOS XE, wenn das
"Web UI"-Feature aktiviert ist. Mit dem folgenden Kommando lässt sich
evaluieren, ob das Feature aktiviert ist:
Router# show running-config | include ip http server|secure|active
ip http server
ip http secure-server
Wenn der Befehl eine der beiden Zeilen zurückliefert ist "Web UI"
aktiviert, und das System verwundbar, es sei denn folgende
Konfigurationsparameter sind ebenfalls gesetzt:
ip http active-session-modules none
ip http secure-active-session-modules none
Abhilfe
Aktuell stellt Cisco weder Sicherheitsaktualisierungen noch Workarounds
zur Verfügung.
Cisco empfiehlt allen Kund:innen das verwundbare Feature auf allen
öffentlich erreichbaren Systemen zu deaktivieren. Dies kann mittels des
Absetzens folgender Befehle im Global Configuration Mode erreicht
werden:
no ip http server
no ip http secure-server
Das Unternehmen hat ebenfalls einen Befehl zur Verfügung gestellt, mit
welchem ein System auf die Präsenz eines von Angreifer:innen
platzierten Implants geprüft werden kann; "systemip" ist hierbei die
IP-Adresse es zu prüfenden Systems:
curl -k -X POST "https://systemip/webui/logoutconfirm.html?logon_hash=1"
Sollte der Befehl einen hexadezimalen String zurückliefern, so ist ein
Implant installiert.
Weiters empfiehlt das Unternehmen, die eigenen Logfiles auf folgende
Zeilen zu untersuchen, deren Präsenz auf eine erfolgte Kompromittierung
hindeuten:
%SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as user on line
%SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: user] [Source: source_IP_address] at 03:42:13 UTC Wed Oct 11 2023
%WEBUI-6-INSTALL_OPERATION_INFO: User: username, Install Operation: ADD filename
An der Stelle von "user" kann hier "cisco_tac_admin", "cisco_support"
oder ein beliebiger anderer, unbekannter, lokaler Account stehen;
"filename" ist ein beliebiger, unbekannter Dateiname, der nicht mit
einer erwarteten Installationsoperation in Verbindung zu bringen ist.
Die folgenden snort-Regeln stehen zur Verfügung, um eine Ausnutzung der
Schwachstelle zu erkennen:
* 3:50118:2 - can alert for initial implant injection
* 3:62527:1 - can alert for implant interaction
* 3:62528:1 - can alert for implant interaction
* 3:62529:1 - can alert for implant interaction
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
Cisco Security Advisory
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z
Blogpost von Cisco Talos
https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/
CERT.at - Computer Emergency Response Team Austria
Ein Tochterunternehmen der nic.at GmbH.
CERT.at GmbH
Karlsplatz 1/2/9
A-1010 Wien
Austria
Telefon: +43 1 5056416 78
Fax: +43 1 5056416 79
E-Mail: team at cert.at
Reports: reports at cert.at
--
// Michael Schlagenhaufer <schlagenhaufer at cert.at> - T: +43 1 5056416
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
-------------- next part --------------
A non-text attachment was scrubbed...
Name: OpenPGP_signature.asc
Type: application/pgp-signature
Size: 840 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20231018/2e217a32/attachment.sig>
More information about the Warning
mailing list