Varovanie pred aktívne zneužívanou zero-day zraniteľnosťou v Cisco IOS XE
AKTUALIZÁCIA 24.10.2023 13:00: Identifikácia ďalšej zraniteľnosti CVE-2023-2073, aktualizácia postupu identifikácie kompromitovaných zariadení, pridanie referencie na aktualizácie firmvéru.
Národné centrum kybernetickej bezpečnosti SK-CERT varuje pred aktívne zneužívanou zraniteľnosťou rozhrania softvéru Cisco IOS XE.
Spoločnosť Cisco identifikovala aktívne zneužívanie neznámej (zero-day) zraniteľnosti vo funkcii webového používateľského rozhrania (Web UI) softvéru Cisco IOS XE (CVE-2023-20198). Ovplyvňuje to fyzické aj virtuálne zariadenia so softvérom Cisco IOS XE, ktoré majú tiež povolenú funkciu HTTP alebo HTTPS Server.
Aktér hrozby zneužíva zraniteľnosť CVE-2023-20198 na získanie prístupu k zariadeniu a spúšťa príkaz úrovne 15 na vytvorenie lokálneho používateľa. S takto vytvoreným kontom je možné sa prihlásiť na zariadenie ako bežný používateľ.
Následne aktér zneužíva novo identifikovanú zraniteľnosť (CVE-2023-2073), ktorá umožňuje bežnému používateľovi získať oprávnenia úrovne root a zapísať škodlivý kód priamo na súborový systém.
Vo viacerých útokoch, ktoré analyzovali experti spoločnosti Cisco, aktér hrozby zneužil túto zraniteľnosť na vytvorenie lokálneho používateľského účtu a využil aj starú chybu vkladania príkazov vo webovom používateľskom rozhraní (CVE-2021-1435). Táto staršia zraniteľnosť však nie je potrebná pre úspešné zneužitie aktuálnej zraniteľnosti.
S touto hrozbou sú teda spojené dve zraniteľnosti webového rozhrania Cisco IOS XE:
- CVE-2023-20189, ktorá dosahuje najvyššie možné CVSS skóre 10
- CVE-2023-20273, ktorá dosahuje CVSS skóre 7.2
Zneužitie týchto dvoch zraniteľností umožňuje útočníkovi získať plnú kontrolu nad napadnutým zariadením.
Nová zraniteľnosť je označená kódom CVE-2023-20198 a dosiahla najvyššie možné CVSS skóre 10 (kritické). Úspešné zneužitie poskytne útočníkovi plnú kontrolu nad napadnutým zariadením a umožní následnú neoprávnenú aktivitu.
Tieto chyby zabezpečenia ovplyvňujú softvér Cisco IOS XE, ak je povolená funkcia webového používateľského rozhrania.
Zo zariadení v slovenskom adresnom rozsahu, ktoré majú prístupné konfiguračné rozhranie, SK-CERT identifikoval veľmi vysoké percento preukázateľne kompromitovaných.
Na zraniteľnosť v súčasnosti neexistuje záplata (aktualizácia).
V súčasnosti je k dispozícii aktualizácia pre Cisco IOS XE verzie 17.9.4 (17.9.4a). Pre staršie verzie 17.6.6, 17.3.8 a 16.12.10 (len pre zariadenia Catalyst 3650 a 3850) sa plánuje vydanie aktualizácii so zatiaľ nešpecifikovaným termínom. Podrobnejšie informácie nájdete tu:
Ako zistiť, že zariadenie bolo kompromitované
Hoci na internete sa už objavilo množstvo návodov na odhalenie napadnutých zariadení, SK-CERT varuje, že tieto sa týkajú výlučne len kompromitácie konkrétnymi doposiaľ identifikovanými útočníkmi. Aj potvrdenie, že zariadenie bolo napadnuté konkrétnym známym spôsobom je však hodnotné, preto publikujeme tento spôsob detekcie:
- na počítači s prístupom k manažmentovému rozhraniu zariadenia nahraďte reťazec X.X.X.X za správnu IP adresu a spustite príkaz
curl -k -H "Authorization: 0ff4fbf0ecffa77ce8d3852a29263e263838e9bb" -X POST "https://X.X.X.X/webui/logoutconfirm.html?logon_hash=1"
Ak sa vo výstupe vyskytuje ľubovoľné hexadecimálne číslo, napríklad 8c98ee1afcbbfdd5ad
, zariadenie je kompromitované. Táto metóda funguje iba vtedy, ak bol webový server po zneužití zraniteľnosti reštartovaný.
- spustite aj príkaz
curl -k "https[:]//X.X.X.X/%25"
V prípade odpovede HTTP 404 s HTML kódom obsahujúcim text „404 Not Found“, je zariadenie kompromitované. Nekompromitované zariadenia na požiadavku odpovedajú štandardnou odpoveďou HTTP 404 alebo odpoveďou HTTP 200 s JavaScript presmerovaním.
spustite aj príkaz
curl -k -X POST "https://X.X.X.X/webui/logoutconfirm.html?menu=1"
Ak je výstup vo formáte podobnom ako /1010202301/
, zariadenie je kompromitované. Čísla majú údajne reprezentovať dátum kompromitácie.
preverte prítomnosť konfiguračného súboru/usr/binos/conf/nginx-conf/cisco_service.conf
- skontrolujte logy zariadenia (ideálne na externom logovacom serveri) a hľadajte v nich záznamy podobné týmto, kde user je buď cisco_tac_admin, cisco_support alebo akýkoľvek iný neznámy používateľ:
%SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as user on line
%SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: user] [Source: source_IP_address] at 03:42:13 UTC Wed Oct 11 2023
- podobne hľadajte v logoch stopy ako
%WEBUI-6-INSTALL_OPERATION_INFO: User: username, Install Operation: ADD filename
Opakujeme, ak ste týmito metódami nepotvrdili kompromitáciu, zariadenie stále môže byť kompromitované. Spoľahlivá detekcia, ktorá by potvrdila že zraniteľnosť nebola zneužitá, v súčasnosti nie je možná.
Ako ďalší spôsob detekcie odporúčame, aby používatelia
- porovnali aktuálnu konfiguráciu zariadení s bezpečnou zálohou (predovšetkým v oblasti používateľských účtov, firewallových pravidiel a nastavení logovania)
- preverili na iných sieťových prvkoch, či nedošlo k neobvyklým pokusom o komunikáciu priamo z preverovaného zariadenia
Odporúčania
- okamžite zneprístupniť konfiguračné webové rozhranie príkazmi
no ip http server
no ip http secure-server
- preveriť konkrétne indikátory kompromitácie vyššie uvedenou metódou a dôsledne skontrolovať logy a možné zmeny v konfigurácii
- Pri potvrdení kompromitácie sa v žiadnom prípade nepokúšajte zariadenie sami aktualizovať alebo reinštalovať. Keďže IOS XE je založený na operačnom systéme Linux s kontajnerizačnými technológiami, útočník má veľa možností ako si zabezpečiť perzistenciu aj po takejto aktualizácii. Odporúčame preto vykonať plnú forenznú analýzu dotknutého zariadenia a minimálne dočasne ho v sieti nahradiť iným zariadením.
- Aj keď ste aj vyššie uvedenými metódami nezistili kompromitáciu, ale zariadenie malo webové konfiguračné rozhranie prístupné z internetu, odporúčame ho považovať za kompromitované a tak k nemu pristupovať.
- Po obnove je dôležité zmeniť všetky prihlasovacie údaje, šifrovacie kľúče, VPN konfigurácie a ďalšie potenciálne citlivé údaje, a preveriť dopad na zvyšok siete.
Ide o kritickú zraniteľnosť a dôrazne odporúčame, aby dotknuté subjekty okamžite implementovali kroky odporúčania Cisco a SK-CERT. V prípade výskytu kybernetického bezpečnostného incidentu tento ihneď nahláste na [email protected].
Zdroje:
https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/
https://nvd.nist.gov/vuln/detail/CVE-2023-20198
https://www.helpnetsecurity.com/2023/10/16/cve-2023-20198/
« Späť na zoznam