Oficiálna stránka SK

Doména gov.sk je oficálna

Toto je oficiálna webová stránka orgánu verejnej moci Slovenskej republiky. Oficiálne stránky využívajú najmä doménu gov.sk. Odkazy na jednotlivé webové sídla orgánov verejnej moci nájdete na tomto odkaze.

Táto stránka je zabezpečená

Buďte pozorní a vždy sa uistite, že zdieľate informácie iba cez zabezpečenú webovú stránku verejnej správy SR. Zabezpečená stránka vždy začína https:// pred názvom domény webového sídla.

Varovanie pred aktívne zneužívanou zero-day zraniteľnosťou v Cisco IOS XE

AKTUALIZÁCIA 24.10.2023 13:00: Identifikácia ďalšej zraniteľnosti CVE-2023-2073, aktualizácia postupu identifikácie kompromitovaných zariadení, pridanie referencie na aktualizácie firmvéru.

Národné centrum kybernetickej bezpečnosti SK-CERT varuje pred aktívne zneužívanou zraniteľnosťou rozhrania softvéru Cisco IOS XE.

Spoločnosť Cisco identifikovala aktívne zneužívanie neznámej (zero-day) zraniteľnosti vo funkcii webového používateľského rozhrania (Web UI) softvéru Cisco IOS XE (CVE-2023-20198). Ovplyvňuje to fyzické aj virtuálne zariadenia so softvérom Cisco IOS XE, ktoré majú tiež povolenú funkciu HTTP alebo HTTPS Server.

Aktér hrozby zneužíva zraniteľnosť CVE-2023-20198 na získanie prístupu k zariadeniu a spúšťa príkaz úrovne 15 na vytvorenie lokálneho používateľa. S takto vytvoreným kontom je možné sa prihlásiť na zariadenie ako bežný používateľ.

Následne aktér zneužíva novo identifikovanú zraniteľnosť (CVE-2023-2073), ktorá umožňuje bežnému používateľovi získať oprávnenia úrovne root a zapísať škodlivý kód priamo na súborový systém.

Vo viacerých útokoch, ktoré analyzovali experti spoločnosti Cisco, aktér hrozby zneužil túto zraniteľnosť na vytvorenie lokálneho používateľského účtu a využil aj starú chybu vkladania príkazov vo webovom používateľskom rozhraní (CVE-2021-1435). Táto staršia zraniteľnosť však nie je potrebná pre úspešné zneužitie aktuálnej zraniteľnosti.

S touto hrozbou sú teda spojené dve zraniteľnosti webového rozhrania Cisco IOS XE:

  • CVE-2023-20189, ktorá dosahuje najvyššie možné CVSS skóre 10
  • CVE-2023-20273, ktorá dosahuje CVSS skóre 7.2

Zneužitie týchto dvoch zraniteľností umožňuje útočníkovi získať plnú kontrolu nad napadnutým zariadením.

Nová zraniteľnosť je označená kódom CVE-2023-20198 a dosiahla najvyššie možné CVSS skóre 10 (kritické). Úspešné zneužitie poskytne útočníkovi plnú kontrolu nad napadnutým zariadením a umožní následnú neoprávnenú aktivitu.

Tieto chyby zabezpečenia ovplyvňujú softvér Cisco IOS XE, ak je povolená funkcia webového používateľského rozhrania.

Zo zariadení v slovenskom adresnom rozsahu, ktoré majú prístupné konfiguračné rozhranie, SK-CERT identifikoval veľmi vysoké percento preukázateľne kompromitovaných.

Na zraniteľnosť v súčasnosti neexistuje záplata (aktualizácia).

V súčasnosti je k dispozícii aktualizácia pre Cisco IOS XE verzie 17.9.4 (17.9.4a). Pre staršie verzie 17.6.6, 17.3.8 a 16.12.10 (len pre zariadenia Catalyst 3650 a 3850) sa plánuje vydanie aktualizácii so zatiaľ nešpecifikovaným termínom. Podrobnejšie informácie nájdete tu:

https://www.cisco.com/c/en/us/support/docs/ios-nx-os-software/ios-xe-dublin-17121/221128-software-fix-availability-for-cisco-ios.html

Ako zistiť, že zariadenie bolo kompromitované

Hoci na internete sa už objavilo množstvo návodov na odhalenie napadnutých zariadení, SK-CERT varuje, že tieto sa týkajú výlučne len kompromitácie konkrétnymi doposiaľ identifikovanými útočníkmi. Aj potvrdenie, že zariadenie bolo napadnuté konkrétnym známym spôsobom je však hodnotné, preto publikujeme tento spôsob detekcie:

  • na počítači s prístupom k manažmentovému rozhraniu zariadenia nahraďte reťazec X.X.X.X za správnu IP adresu a spustite príkaz

curl -k -H "Authorization: 0ff4fbf0ecffa77ce8d3852a29263e263838e9bb" -X POST "https://X.X.X.X/webui/logoutconfirm.html?logon_hash=1"

Ak sa vo výstupe vyskytuje ľubovoľné hexadecimálne číslo, napríklad 8c98ee1afcbbfdd5ad, zariadenie je kompromitované. Táto metóda funguje iba vtedy, ak bol webový server po zneužití zraniteľnosti reštartovaný.

  • spustite aj príkaz

curl -k "https[:]//X.X.X.X/%25"

V prípade odpovede HTTP 404 s HTML kódom obsahujúcim text „404 Not Found“, je zariadenie kompromitované. Nekompromitované zariadenia na požiadavku odpovedajú štandardnou odpoveďou HTTP 404 alebo odpoveďou HTTP 200 s JavaScript presmerovaním.

  • spustite aj príkaz

curl -k -X POST "https://X.X.X.X/webui/logoutconfirm.html?menu=1" 

Ak je výstup vo formáte podobnom ako /1010202301/, zariadenie je kompromitované. Čísla majú údajne reprezentovať dátum kompromitácie.

  • preverte prítomnosť konfiguračného súboru /usr/binos/conf/nginx-conf/cisco_service.conf
  • skontrolujte logy zariadenia (ideálne na externom logovacom serveri) a hľadajte v nich záznamy podobné týmto, kde user je buď cisco_tac_admin,  cisco_support alebo akýkoľvek iný neznámy používateľ:

%SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as user on line

%SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: user] [Source: source_IP_address] at 03:42:13 UTC Wed Oct 11 2023

  • podobne hľadajte v logoch stopy ako

%WEBUI-6-INSTALL_OPERATION_INFO: User: username, Install Operation: ADD filename

Opakujeme, ak ste týmito metódami nepotvrdili kompromitáciu, zariadenie stále môže byť kompromitované. Spoľahlivá detekcia, ktorá by potvrdila že zraniteľnosť nebola zneužitá, v súčasnosti nie je možná.

Ako ďalší spôsob detekcie odporúčame, aby používatelia

  • porovnali aktuálnu konfiguráciu zariadení s bezpečnou zálohou (predovšetkým v oblasti používateľských účtov, firewallových pravidiel a nastavení logovania)
  • preverili na iných sieťových prvkoch, či nedošlo k neobvyklým pokusom o komunikáciu priamo z preverovaného zariadenia

Odporúčania

  • okamžite zneprístupniť konfiguračné webové rozhranie príkazmi

no ip http server

no ip http secure-server

  • preveriť konkrétne indikátory kompromitácie vyššie uvedenou metódou a dôsledne skontrolovať logy a možné zmeny v konfigurácii
  • Pri potvrdení kompromitácie sa v žiadnom prípade nepokúšajte zariadenie sami aktualizovať alebo reinštalovať. Keďže IOS XE je založený na operačnom systéme Linux s kontajnerizačnými technológiami, útočník má veľa možností ako si zabezpečiť perzistenciu aj po takejto aktualizácii. Odporúčame preto vykonať plnú forenznú analýzu dotknutého zariadenia a minimálne dočasne ho v sieti nahradiť iným zariadením.
  • Aj keď ste aj vyššie uvedenými metódami nezistili kompromitáciu, ale zariadenie malo webové konfiguračné rozhranie prístupné z internetu, odporúčame ho považovať za kompromitované a tak k nemu pristupovať.
  • Po obnove je dôležité zmeniť všetky prihlasovacie údaje, šifrovacie kľúče, VPN konfigurácie a ďalšie potenciálne citlivé údaje, a preveriť dopad na zvyšok siete. 

Ide o kritickú zraniteľnosť a dôrazne odporúčame, aby dotknuté subjekty okamžite implementovali kroky odporúčania Cisco a SK-CERT. V prípade výskytu kybernetického bezpečnostného incidentu tento ihneď nahláste na [email protected].

 

Zdroje:

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z#REC

https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/

https://nvd.nist.gov/vuln/detail/CVE-2023-20198

https://www.tenable.com/blog/cve-2023-20198-zero-day-vulnerability-in-cisco-ios-xe-exploited-in-the-wild

https://www.helpnetsecurity.com/2023/10/16/cve-2023-20198/

https://www.cisco.com/c/en/us/support/docs/ios-nx-os-software/ios-xe-dublin-17121/221128-software-fix-availability-for-cisco-ios.html


« Späť na zoznam