思科已发布安全更新,以解决思科互联网操作系统扩展版 (IOS XE) 软件的 Web 用户界面 (UI) 功能中的零日漏洞 (CVE-2023-20198 和 CVE-2023-20273)。据报道,这些漏洞正被积极利用。CVE-2023-20198 的通用漏洞评分系统 (CVSSv3.1) 评分为 10 分(满分 10 分)。
这些漏洞包括:
CVE-2023-20198:成功利用此漏洞可允许未经身份验证的远程攻击者在受影响的系统上创建一个具有 15 级访问权限(最高访问权限)的帐户,该帐户可完全访问所有系统命令并允许攻击者更改配置。然后可以使用这些特权帐户来控制受影响的系统。
CVE-2023-20273:成功利用此漏洞可以允许攻击者注入具有 root 权限的命令,从而让他们能够在设备上执行任意命令。
当两个漏洞结合在一起时,成功利用该漏洞可使攻击者利用新的未经授权的本地用户帐户来利用 WebUI 功能的另一个组件。这允许攻击者以 root 权限获得对受影响系统的未经授权的访问。
这些漏洞影响所有启用了 Web UI 功能的 Cisco IOS XE 软件。
建议受影响软件的用户和管理员立即更新到最新版本,并禁用所有连接到面向互联网的网络的 Cisco IOS XE 系统上的 HTTP 服务器功能。
要禁用 HTTP 服务器功能,请在全局配置模式下使用“no ip http server”或“no ip http secure-server”命令。如果同时使用 HTTP 服务器和 HTTPS 服务器,则需要两个命令才能禁用 HTTP 服务器功能。进行更改后,使用复制“running-startup-configuration”命令保存运行配置,以防止在系统重新加载时更改被恢复。
还建议用户和管理员执行以下检查以确定其设备是否已被入侵:
- 检查系统日志中是否存在以下任何日志消息,其中“用户”可能是“cisco_tac_admin”、“cisco_support”或网络管理员不知道的任何已配置的本地用户:
- %SYS-5-CONFIG_P:由在线用户通过控制台中的进程 SEP_webui_wsma_http 以编程方式进行配置
- %SEC_LOGIN-5-WEBLOGIN_SUCCESS:登录成功 [用户:user] [来源:source_IP_address] 于 UTC 时间 2023 年 10 月 11 日星期三 03:42:13
- 每次用户访问 Web UI 时,都会出现 %SYS-5-CONFIG_P 消息。要查找的指标是消息中存在新的或未知的用户名。
- 检查系统日志中是否存在以下消息,其中文件名是未知文件名,与预期的文件安装操作不相关:
- %WEBUI-6-INSTALL_OPERATION_INFO:用户:用户名,安装操作:添加文件名
管理员可能希望考虑阻止与 Web UI 漏洞相关的 IoC,跟踪与威胁行为者使用的用户帐户相关的用户名,并检查其防火墙日志或任何其他相关日志,以查找先前与所提供的网络 IoC 的连接。下表显示了 IoC 列表。
| 类型 | 指标 |
|---|---|
| IP地址 | 5.149.249[.]74 |
| IP地址 | 154.53.56[.]231 |
| IP地址 | 154.53.63[.]93 |
| IP地址 | 107.175.229[.]142 |
| IP地址 | 192.3.101[.]111 |
| 用户名 | cisco_tac_admin |
| 用户名 | 思科支持 |
| 用户名 | 思科系统管理器 |
还建议用户和管理员向 SingCERT(https://go.gov.sg/singcert-incident-reporting-form)报告任何涉及利用 Cisco IOS XE 漏洞的事件(或任何其他网络安全事件)。
更多信息请点击这里:
留言