Cisco IOS XE Web UI 权限提升漏洞(CVE-2023-20198)安全风险通告第二次更新
Cisco IOS XE Web UI 权限提升漏洞(CVE-2023-20198)安全风险通告第二次更新
原创 QAX CERT 奇安信 CERT 2023-10-19 13:35
●
点击↑蓝字关注我们,获取更多安全风险通告
|
漏洞概述 |
|||
|
漏洞名称 |
Cisco IOS XE Web UI 权限提升漏洞 |
||
|
漏洞编号 |
QVD-2023-24046、CVE-2023-20198 |
||
|
公开时间 |
2023-10-16 |
影响对象数量级 |
十万级 |
|
奇安信评级 |
高危 |
CVSS 3.1分数 |
10 |
|
威胁类型 |
权限提升 |
利用可能性 |
高 |
|
POC状态 |
未公开 |
在野利用状态 |
已发现 |
|
EXP状态 |
未公开 |
技术细节状态 |
未公开 |
|
利用条件:需要启用HTTP Server或者HTTPS Server。 |
|||
01
漏洞详情
>
>
>
>
影响组件
Web UI 是一种基于GUI的嵌入式系统管理工具,能够提供系统配置、简化系统部署和可管理性以及增强用户体验。它带有默认映像,因此无需在系统上启用任何内容或安装任何许可证。Web UI 可用于构建配置以及监控系统和排除系统故障,而无需CLI专业知识。
>
>
>
>
漏洞描述
近日,奇安信CERT监测到Cisco IOS XE 软件 Web UI 权限提升漏洞(CVE-2023-20198)
存在在野利用。当Cisco IOS XE 软件的web UI暴露于互联网或不受信任的网络时,未经身份验证的远程攻击者可以利用该漏洞在受影响的系统上创建具有15级访问权限的帐户。攻击者可以利用该帐户来控制受影响的系统。
鉴于该产品用量较多且存在在野利用,建议客户尽快做好自查及防护。
本次更新内容:****
新增受影响资产情况;****
新增Snort检测方案。
02
影响范围
>
>
>
>
影响版本
启用了Web UI 功能的Cisco IOS XE
>
>
>
>
其他受影响组件
无
03
受影响资产情况
>
>
>
>
奇安信鹰图资产测绘数据
奇安信鹰图资产测绘平台数据显示,Cisco IOS XE Web UI权限提升漏洞(CVE-2023-20198)关联的国内风险资产总数为3383个,关联IP总数为1995个。国内风险资产分布情况如下:
>
>
>
>
CERT Orange Cyberdefense统计数据****
10月18日CERT Orange Cyberdefense统计发现互联网上超过
34.5K
Cisco IOS XE的IP容易受到攻击。
04
处置建议
目前官方暂未发布安全更新,受影响用户可以禁用 HTTP/HTTPS 服务器功能,如果业务需要可以将这些功能部署于受信任网络。
>
>
>
>
检测方案
登录系统并在 CLI 中使用“show running-config | include ip http server|secure|active”命令检查全局配置中是否存在”ip http server”或”ip http secure-server”命令。如果存在任一命令,则系统将启用 HTTP 服务器功能,代表该系统受影响。
如果存在ip http server命令并且配置还包含ip http active-session-modules none,则无法通过 HTTP 利用该漏洞。
如果存在ip http secure-server命令并且配置还包含ip http secure-active-session-modules none,则无法通过 HTTPS 利用该漏洞。
>
>
>
>
缓解措施
如果启用HTTP Server或者HTTPS Server可以使用以下命令进行关闭:“`
no ip http server/no ip http secure-server
**>**
**>**
**>**
**>**
**威胁检测**
1、检查系统日志中是否存在以下任何日志消息,其中“用户”可能是“cisco_tac_admin”、“cisco_support”或网络管理员未知的任何已配置本地用户:```
%SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as user on line
%SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: user] [Source: source_IP_address] at 03:42:13 UTC Wed Oct 11 2023
2、检查系统日志中是否有以下消息,其中filename是与预期文件安装操作不相关的未知文件名:
%WEBUI-6-INSTALL_OPERATION_INFO: User: username, Install Operation: ADD filename
****IOCs:
5.149.249[.]74
154.53.56[.]231
>
>
>
>
产品解决方案
Snort 检测方案
Snort是一个开源的入侵检测系统,使用规则来检测网络流量中的恶意行为。用户可参考以下ET发布的CVE-2023-20198的Snort检测规则进行检测:
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:”ET EXPLOIT Cisco IOS XE Web Server Implant Check (CVE-2023-20198) (Outbound)”; flow:established,to_server; urilen:38; content:”POST”; http_method; content:”/webui/logoutconfirm.html?logon_hash=1″; http_uri; fast_pattern:18,20; content:”User-Agent|3a 20|curl/”; http_header; threshold:type limit,seconds 300,count 1,track by_src; reference:url,blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/; reference:cve,2023-20198; classtype:trojan-activity; sid:2048583; rev:1; metadata:affected_product iOS, attack_target Web_Server, created_at 2023_10_17, cve CVE_2023_20198, deployment Perimeter, deployment SSLDecrypt, former_category EXPLOIT, confidence High, signature_severity Major, updated_at 2023_10_17, reviewed_at 2023_10_17;)
alert tcp $EXTERNAL_NET any -> [$HOME_NET,$HTTP_SERVERS] any (msg:”ET EXPLOIT Cisco IOS XE Web Server Implant Check (CVE-2023-20198) (Inbound)”; flow:established,to_server; urilen:38; content:”POST”; http_method; content:”/webui/logoutconfirm.html?logon_hash=1″; http_uri; fast_pattern:18,20; content:”User-Agent|3a 20|curl/”; http_header; threshold:type limit,seconds 300,count 1,track by_src; reference:url,blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/; reference:cve,2023-20198; classtype:trojan-activity; sid:2048584; rev:1; metadata:affected_product iOS, attack_target Web_Server, created_at 2023_10_17, cve CVE_2023_20198, deployment Perimeter, deployment Internet, deployment SSLDecrypt, former_category EXPLOIT, confidence High, signature_severity Major, updated_at 2023_10_17, reviewed_at 2023_10_17;)
05
参考资料
[1]https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z
[2]https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/
06
时间线
2023年10月17日,奇安信 CERT发布安全风险通告;
2023年10月19日,奇安信 CERT发布安全风险通告第二次更新。
07
漏洞情报服务
奇安信ALPHA威胁分析平台已支持漏洞情报订阅服务:
奇安信 CERT
致力于
第一时间为企业级用户提供权威漏洞情报和有效
解决方案。
点击↓
阅读原文
,到ALHA威胁分析平台
订阅更多漏洞信息。