TI - CVE-2023-20198 - Cisco IOS XE Web UI Privilege Escalation Vulnerability - 10

Beschreibung:

Cisco hat am 16.10.2023 eine Schwachstelle für Cisco IOS XE veröffentlicht, welche die Eskalation von Privilegien über die Web UI ermöglicht. Angreifer können über das Netzwerk ohne Authentifizierung einen User auf dem System mit den Berechtigungen "Level 15" anlegen. Da es sich um die höchstmöglichen Berechtigungen handelt, kann das betroffene Gerät in weiterer Folge vollständig übernommen werden. Die Schwachstelle wird bereits seit 28.09.2023 aktiv angegriffen.

Betroffene Systeme:

Alle Cisco IOS XE Software Versionen mit aktiver Web UI

Behobene Versionen:

Aktuell keine.

Empfohlene Maßnahmen:

Cisco stellt aktuell nur einen Workaround für die Schwachstelle zur Verfügung. Dieser deaktiviert die Web UI. Der Hersteller empfiehlt diesen Workaround auf allen Geräten deren Web UI öffentlich verfügbar ist. Wie stelle ich fest, ob ich betroffen bin? Habe ich IOS XE im Einsatz? nein → nicht verwundbar ja - ist "ip http server" oder "ip http secure-server" aktiviert? (show running-config | include ip http server|secure|active) nein - nicht verwundbar ja - wird HTTP/HTTPS Web UI benötigt? nein - deaktivieren ja, Zugriff auf die Web UI auf interne Netzwerke einschränken. Wie stelle ich fest, ob ich kompromittiert wurde? Dazu müssen die System Logs überprüft werden. Log Messages mit dem Benutzer ("user") "cisco_tac_admin","cisco_support" oder ein anderer, lokaler, nicht bekannter Benutzer ist sind verdächtig und könnten auf eine bereits stattgefundene Kompromittierung hinweisen. Beispiele von Cisco: %SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as on line %SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: ] [Source: source_IP_address] at 03:42:13 UTC Wed Oct 11 2023 Notiz: Die %SYS-5-CONFIG_P Einträge gibt es für jeden User der sich auf der Web UI anmeldet. Diese könnten auch von legitimen Benutzern sein. Augenmerk sollte auf unbekannte Benutzer gelegt werden. Weiterer Log Eintrag für eine mögliche erfolgreiche Exploitation: %WEBUI-6-INSTALL_OPERATION_INFO: User: username, Install Operation: ADD Der "filename" muss mit bekannten Installationsfiles korrelieren. Wenn der "filename" verdächtig aussieht oder unbekannt erscheint, könnte es ein hinweise auf eine erfolgreiche Exploitation sein. Zuletzt gibt es noch die Möglichkeit selbst seine Cisco Geräte auf eine bereits stattgefundene Exploitation zu scannen. Cisco Talos stellt folgenden Befehl zur Verfügung: curl -k -X POST "https:///webui/logoutconfirm.html?logon_hash=1" Wenn die Ausgabe einen Hexadezimalen String (z.B. 99fa9e9238129a9d99891) enthält, könnte dies einen weiterer Hinweise auf eine aktive Kompromittierung sein.

Einschätzung der Bedrohung:

Cisco stuft die Schwachstelle als kritisch ein und warnt aktuell vor aktiven Exploitversuchen. Daher empfehlen wir, umgehend Aktionen auf betroffenen Geräten zu setzten. Priorität sollte auf Geräte gelegt werden, welche aus dem Internet erreichbar werden können.

Weiterführende Links:

https://socradar.io/cisco-warns-of-exploitation-of-a-maximum-severity-zero-day-vulnerability-in-ios-xe-cve-2023-20198/ https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/