Cisco IOS XE 軟件 Web UI 權(quán)限升級漏洞

咨詢編號:cisco-sa-iosxe-webui-privesc-j22SaA4z
首次發(fā)布:2023 年 10 月 16 日 15:00(格林尼治標準時間)
最近更新時間:2023 年 10 月 16 日 21:11(格林尼治標準時間)
1.1版:臨時
解決方法:沒有可用的解決方法
思科錯誤 ID:CSCwh87343
CVSS 分數(shù):基礎(chǔ)10.0

概括

思科意識到,當暴露于互聯(lián)網(wǎng)或不受信任的網(wǎng)絡(luò)時,Cisco IOS XE 軟件的 Web UI 功能中的一個先前未知的漏洞會被主動利用。此漏洞允許未經(jīng)身份驗證的遠程攻擊者在受影響的系統(tǒng)上創(chuàng)建具有 15 級訪問權(quán)限的帳戶。然后,攻擊者可以使用該帳戶來控制受影響的系統(tǒng)。

有關(guān)關(guān)閉此漏洞攻擊媒介的步驟,請參閱此通報的建議部分。

思科將提供有關(guān)此次調(diào)查的狀態(tài)以及軟件補丁何時可用的最新信息。

此通報可通過以下鏈接獲取:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z

易受影響的產(chǎn)品

如果啟用了 Web UI 功能,此漏洞會影響 Cisco IOS XE 軟件。Web UI 功能通過ip http serverip http secure-server命令啟用。

確定 HTTP 服務(wù)器配置

要確定系統(tǒng)是否啟用了 HTTP Server 功能,請登錄系統(tǒng)并使用show running-config |?在 CLI 中包含 ip http server|secure|active命令,以檢查全局配置中是否存在ip http server命令或ip http secure-server命令。如果存在任一命令,則系統(tǒng)將啟用 HTTP 服務(wù)器功能。

以下示例顯示了show running-config |的輸出?對于啟用了 HTTP 服務(wù)器功能的系統(tǒng),包含 ip http server|secure|active命令:

路由器#顯示運行配置 | 包括 ip http 服務(wù)器|安全|活動
ip http 服務(wù)器
ip http 安全服務(wù)器

注意:系統(tǒng)配置中出現(xiàn)任一命令或同時存在這兩個命令表示 Web UI 功能已啟用。

如果存在ip http server命令并且配置還包含ip http active-session-modules none,則無法通過 HTTP 利用該漏洞。

如果存在ip http secure-server命令并且配置還包含ip http secure-active-session-modules none,則無法通過 HTTPS 利用該漏洞。

細節(jié)

Web UI 是一種基于 GUI 的嵌入式系統(tǒng)管理工具,能夠提供系統(tǒng)配置、簡化系統(tǒng)部署和可管理性以及增強用戶體驗。它帶有默認映像,因此無需在系統(tǒng)上啟用任何內(nèi)容或安裝任何許可證。Web UI 可用于構(gòu)建配置以及監(jiān)控系統(tǒng)和排除系統(tǒng)故障,而無需 CLI 專業(yè)知識。

Web UI 和管理服務(wù)不應(yīng)暴露于互聯(lián)網(wǎng)或不受信任的網(wǎng)絡(luò)。

妥協(xié)指標

要確定系統(tǒng)是否已受到損害,請執(zhí)行以下檢查:

檢查系統(tǒng)日志中是否存在以下任何日志消息,其中用戶可能是cisco_tac_admincisco_support或網(wǎng)絡(luò)管理員未知的任何已配置本地用戶:

%SYS-5-CONFIG_P:通過進程 SEP_webui_wsma_http 從控制臺以用戶身份在線
% 
SEC_LOGIN-5-WEBLOGIN_SUCCESS:以編程方式配置 %SEC_LOGIN-5-WEBLOGIN_SUCCESS:登錄成功 [user: user ] [Source: source_IP_address ] at 03:42:13 UTC 2023 年 10 月 11 日星期三
注意:用戶訪問 Web UI 的每個實例都會出現(xiàn)%SYS-5-CONFIG_P消息。要查找的指示符是消息中存在的新的或未知的用戶名。
檢查系統(tǒng)日志中是否有以下消息,其中filename是與預(yù)期文件安裝操作不相關(guān)的未知文件名:
%WEBUI-6-INSTALL_OPERATION_INFO:用戶:用戶名,安裝操作:ADD文件名
Cisco Talos 提供了以下命令來檢查植入程序是否存在,其中systemip是要檢查的系統(tǒng)的 IP 地址。應(yīng)從有權(quán)訪問相關(guān)系統(tǒng)的工作站發(fā)出此命令:
卷曲-k -X POST“https: //systemip/webui/logoutconfirm.html ?logon_hash=1”

如果請求返回十六進制字符串,則表明存在植入程序。

注意:如果系統(tǒng)配置為僅進行 HTTP 訪問,請使用命令示例中的 HTTP 方案。

以下 Snort 規(guī)則 ID 也可用于檢測漏洞利用:

解決方法

沒有解決此漏洞的解決方法。

建議

思科強烈建議客戶在所有面向互聯(lián)網(wǎng)的系統(tǒng)上禁用 HTTP 服務(wù)器功能。要禁用 HTTP 服務(wù)器功能,請在全局配置模式下使用no ip http serverno ip http secure-server命令。如果同時使用HTTP服務(wù)器和HTTPS服務(wù)器,則需要這兩個命令來禁用HTTP服務(wù)器功能。

以下決策樹可用于幫助確定如何對環(huán)境進行分類并部署保護措施:

  • 你運行的是 IOS XE 嗎?
    • 。該系統(tǒng)不易受到攻擊。無需采取進一步行動。
    • 是的。是否配置了ip http serverip http secure-server
      • 。該漏洞不可利用。無需采取進一步行動。
      • 是的。您是否運行需要 HTTP/HTTPS 通信的服務(wù)(例如 eWLC)?
        • 。禁用 HTTP 服務(wù)器功能。
        • 是的。如果可能,將對這些服務(wù)的訪問限制為受信任的網(wǎng)絡(luò)。

對這些服務(wù)實施訪問控制時,請務(wù)必檢查控制措施,因為生產(chǎn)服務(wù)可能會中斷。如果您不確定這些步驟,請與您的支持組織合作確定適當?shù)目刂拼胧?/p>

實施任何更改后,請使用copy running-configurationstartup-configuration命令保存running-configuration。這將確保在系統(tǒng)重新加載時不會恢復(fù)更改。

漏洞利用和公告

思科已意識到該漏洞正在被積極利用。

來源

該漏洞是在解決多個 Cisco TAC 支持案例時發(fā)現(xiàn)的。

網(wǎng)址

修訂記錄

1.1 添加了分類決策樹。 建議 臨時 2023 年 10 月 16 日
1.0 首次公開發(fā)布。 臨時 2023 年 10 月 16 日
網(wǎng)絡(luò)安全隱私保護
-=||=-收藏贊 (0)
保貝狗是一款個人信息保護產(chǎn)品。 » 未修補的關(guān)鍵思科零日漏洞正在被積極利用
分享到

相關(guān)推薦

保貝狗

保貝狗是一款免費的個人信息保護產(chǎn)品
大家都在用的隱私保護軟件
保貝狗專注于個人信息保護的研究
實用、簡單、方便、快捷

QQ聯(lián)系我們微信聯(lián)系我們