17 oktober 2023
Samenvatting
Cisco heeft een nieuwe kritieke kwetsbaarheid bevestigd (CVE-2023-20198 CVSS 10.0 kritisch). Deze kwetsbaarheid bevindt zich in de web-UI-functie van Cisco IOS XE. Als dit wordt blootgesteld aan internet of aan niet-vertrouwde netwerken, kan dit worden uitgebuit. Een niet-geverifieerde aanvaller kan op afstand een account aanmaken op het getroffen systeem met toegangsniveau 15. De aanvaller kan dat account vervolgens gebruiken om controle te krijgen over het getroffen systeem.
UPDATE: Cisco heeft een security update voorzien, deze kan verkregen worden via het kanaal dat gebruikt wordt om software te updaten.
Betrokken producten
Cisco heeft een gedetailleerde beschrijving van het probleem gegeven:
Dit beveiligingslek treft Cisco IOS XE-software als de web-UI-functie is ingeschakeld. De web-UI-functie wordt ingeschakeld via de opdrachten ip http server of ip http secure-server.
Bepaal de HTTP-serverconfiguratie
Om te bepalen of de HTTP Server-functie is ingeschakeld voor een systeem, logt u in op het systeem en gebruikt u de show running-config | neem de opdracht ip http server|secure|active op in de CLI om te controleren of de opdracht ip http server of de opdracht ip http secure-server aanwezig is in de algemene configuratie. Als een van beide opdrachten aanwezig is, is de HTTP Server-functie ingeschakeld voor het systeem.
Het volgende voorbeeld toont de uitvoer van de show running-config | include ip http server|secure|active opdracht voor een systeem waarop de HTTP Server-functie is ingeschakeld:
Router# show running-config | include ip http server|secure|active
- ip http server
- ip http secure-server
Opmerking: De aanwezigheid van een van beide commando of beide commando’s in de systeemconfiguratie geeft aan dat de web-UI-functie is ingeschakeld.
Als de opdracht ip http server aanwezig is en de configuratie ook ip http active-session-modules none bevat, kan het beveiligingslek niet via HTTP worden misbruikt.Als de opdracht ip http secure-server aanwezig is en de configuratie ook ip http secure-active-session-modules none bevat, kan het beveiligingslek niet via HTTPS worden misbruikt.
Cisco heeft ook een ‘Indicator of compromis’ verstrekt:
Om te bepalen of een systeem mogelijk is gehackt, voert u de volgende controles uit:Controleer de systeemlogboeken op de aanwezigheid van een van de volgende logberichten, waarbij de gebruiker cisco_tac_admin, cisco_support of een geconfigureerde, lokale gebruiker kan zijn die onbekend is bij de netwerkbeheerder:
- %SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as user on line
- %SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: user] [Source: source_IP_address] at 03:42:13 UTC Wed Oct 11 2023
Opmerking: het bericht %SYS-5-CONFIG_P zal aanwezig zijn voor elk exemplaar dat een gebruiker toegang heeft gehad tot de webgebruikersinterface. De indicator waarnaar moet worden gezocht, zijn nieuwe of onbekende gebruikersnamen in het bericht.
Controleer de systeemlogboeken op het volgende bericht waarbij de bestandsnaam een onbekende bestandsnaam is die niet correleert met een verwachte bestandsinstallatieactie:
• %WEBUI-6-INSTALL_OPERATION_INFO: User: username, Install Operation: ADD filename
Cisco Talos heeft de volgende opdracht gegeven om te controleren op de aanwezigheid van het implantaat, waarbij systemip het IP-adres is van het te controleren systeem. Dit commando moet worden gegeven vanaf een werkstation met toegang tot het betreffende systeem:
• curl -k -X POST https://systemip/webui/logoutconfirm.html?logon_hash=1
Als het verzoek een hexadecimale reeks retourneert, is het implantaat aanwezig.Opmerking: Als het systeem alleen is geconfigureerd voor HTTP-toegang, gebruik dan het HTTP-schema in het opdrachtvoorbeeld.De volgende Snort-regel-ID’s zijn ook beschikbaar om misbruik te detecteren:
- 3:50118:2 – can alert for initial implant injection
- 3:62527:1 – can alert for implant interaction
- 3:62528:1 – can alert for implant interaction
- 3:62529:1 – can alert for implant interaction
Beveiligingsaanbeveling
Cisco heeft security patches uitgebracht om het probleem te verhelpen, deze zijn beschikbaar via de gebruikelijke kanalen waar Cisco updates op voorziet. Er zijn door hen beveiligingsaanbevelingen verstrekt:
Cisco raadt klanten ten zeerste aan de HTTP Server-functie uit te schakelen op alle internetgerichte systemen. Om de HTTP Server-functie uit te schakelen, gebruikt u de opdracht no ip http server of no ip http secure-server in de globale configuratiemodus. Als zowel de HTTP-server als de HTTPS-server in gebruik zijn, zijn beide opdrachten vereist om de HTTP Server-functie uit te schakelen.De volgende beslissingsboom kan worden gebruikt om te bepalen hoe een omgeving moet worden beoordeeld en beveiligingen moeten worden geïmplementeerd:
- Gebruikt u iOS XE?
- Het systeem is niet kwetsbaar. Er is geen verdere actie nodig.
- Is ip http server of ip http secure-server geconfigureerd?
- De kwetsbaarheid kan niet worden misbruikt. Er is geen verdere actie nodig.
- Voert u services uit die HTTP/HTTPS-communicatie vereisen (bijvoorbeeld eWLC)?
- Schakel de HTTP-serverfunctie uit.
- Beperk indien mogelijk de toegang tot deze diensten tot vertrouwde netwerken.
Wanneer u toegangscontroles voor deze services implementeert, zorg er dan voor dat u de controles controleert, omdat er een kans bestaat op een onderbreking van de productieservices. Als u niet zeker bent van deze stappen, werk dan samen met uw ondersteunende organisatie om passende controlemaatregelen te bepalen.Nadat u eventuele wijzigingen hebt doorgevoerd, gebruikt u de opdracht copy running-configuration startup-configuration om de actieve configuratie op te slaan. Dit zorgt ervoor dat de wijzigingen niet worden teruggedraaid als het systeem opnieuw wordt geladen.
Een gedetailleerde overzicht kan hier gevonden worden.