[Warning] Kritische Sicherheitslücke in Cisco IOS XE - aktiv ausgenützt

Michael Schlagenhaufer schlagenhaufer at cert.at
Wed Oct 18 12:11:45 CEST 2023 

    18. Oktober 2023

Beschreibung

    Eine kritische Sicherheitslücke in Cisco IOS XE erlaubt es
    unauthentifizierten Angreifer:innen privilegierte Accounts anzulegen,
    was eine vollständige Kompromittierung verwundbarer Systeme ermöglicht.
    Betroffen sind sowohl physische als auch virtuelle Systeme, deren
    Webinterface über das Internet oder andere, nicht vertrauenswürdige
    Netzwerke erreichbar ist. Die Schwachstelle wird bereits von
    verschiedenen Bedrohungsakteuren breitflächig ausgenutzt.

    CVE-Nummer(n): CVE-2023-20198

    CVSS Base Score: 10.0

Auswirkungen

    Durch die Erstellung privilegierter Accounts ist es Angreifer:innen
    möglich, die vollständige Kontrolle über ein verwundbares System zu
    erlangen.

Betroffene Systeme

    Die Schwachstelle betrifft alle Versionen von Cisco IOS XE, wenn das
    "Web UI"-Feature aktiviert ist. Mit dem folgenden Kommando lässt sich
    evaluieren, ob das Feature aktiviert ist:

Router# show running-config | include ip http server|secure|active
ip http server
ip http secure-server

    Wenn der Befehl eine der beiden Zeilen zurückliefert ist "Web UI"
    aktiviert, und das System verwundbar, es sei denn folgende
    Konfigurationsparameter sind ebenfalls gesetzt:

ip http active-session-modules none
ip http secure-active-session-modules none

Abhilfe

    Aktuell stellt Cisco weder Sicherheitsaktualisierungen noch Workarounds
    zur Verfügung.

    Cisco empfiehlt allen Kund:innen das verwundbare Feature auf allen
    öffentlich erreichbaren Systemen zu deaktivieren. Dies kann mittels des
    Absetzens folgender Befehle im Global Configuration Mode erreicht
    werden:

no ip http server
no ip http secure-server

    Das Unternehmen hat ebenfalls einen Befehl zur Verfügung gestellt, mit
    welchem ein System auf die Präsenz eines von Angreifer:innen
    platzierten Implants geprüft werden kann; "systemip" ist hierbei die
    IP-Adresse es zu prüfenden Systems:

curl -k -X POST "https://systemip/webui/logoutconfirm.html?logon_hash=1"

    Sollte der Befehl einen hexadezimalen String zurückliefern, so ist ein
    Implant installiert.

    Weiters empfiehlt das Unternehmen, die eigenen Logfiles auf folgende
    Zeilen zu untersuchen, deren Präsenz auf eine erfolgte Kompromittierung
    hindeuten:

%SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as user on line
%SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: user] [Source: source_IP_address] at 03:42:13 UTC Wed Oct 11 2023
%WEBUI-6-INSTALL_OPERATION_INFO: User: username, Install Operation: ADD filename

    An der Stelle von "user" kann hier "cisco_tac_admin", "cisco_support"
    oder ein beliebiger anderer, unbekannter, lokaler Account stehen;
    "filename" ist ein beliebiger, unbekannter Dateiname, der nicht mit
    einer erwarteten Installationsoperation in Verbindung zu bringen ist.

    Die folgenden snort-Regeln stehen zur Verfügung, um eine Ausnutzung der
    Schwachstelle zu erkennen:
      * 3:50118:2 - can alert for initial implant injection
      * 3:62527:1 - can alert for implant interaction
      * 3:62528:1 - can alert for implant interaction
      * 3:62529:1 - can alert for implant interaction

Hinweis

    Generell empfiehlt CERT.at, wo möglich die "automatisches
    Update"-Features von Software zu nutzen, parallel Firewall-Software
    aktiv und den Virenschutz aktuell zu halten.
      __________________________________________________________________

Informationsquelle(n):

    Cisco Security Advisory
    https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z

    Blogpost von Cisco Talos
    https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/


    CERT.at - Computer Emergency Response Team Austria
    Ein Tochterunternehmen der nic.at GmbH.
    CERT.at GmbH
    Karlsplatz 1/2/9
    A-1010 Wien
    Austria
    Telefon: +43 1 5056416 78
    Fax: +43 1 5056416 79
    E-Mail: team at cert.at
    Reports: reports at cert.at


-- 
// Michael Schlagenhaufer <schlagenhaufer at cert.at> - T: +43 1 5056416
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
-------------- next part --------------
A non-text attachment was scrubbed...
Name: OpenPGP_signature.asc
Type: application/pgp-signature
Size: 840 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20231018/2e217a32/attachment.sig>

More information about the Warning mailing list