CVE-2023-20198 Kritische Sicherheitslücke in Cisco IOS XE - aktiv ausgenützt

Eine kritische Sicherheitslücke in Cisco IOS XE erlaubt es unauthentifizierten Angreifern privilegierte Accounts anzulegen, was eine vollständige Kompromittierung verwundbarer Systeme ermöglicht. Betroffen sind sowohl physische als auch virtuelle Systeme, deren Webinterface über das Internet oder andere, nicht vertrauenswürdige Netzwerke erreichbar ist. Die Schwachstelle wird bereits von verschiedenen Bedrohungsakteuren breitflächig ausgenutzt. CVSS Base Score: 10.0

---

Auswirkungen

Durch die Erstellung privilegierter Accounts ist es Angreifer:innen möglich, die vollständige Kontrolle über ein verwundbares System zu erlangen.
Betroffene Systeme
Die Schwachstelle betrifft alle Versionen von Cisco IOS XE, wenn das "Web UI"-Feature aktiviert ist. Mit dem folgenden Kommando lässt sich evaluieren, ob das Feature aktiviert ist:

Router# show running-config | include ip http server|secure|active
ip http server
ip http secure-server

Wenn der Befehl eine der beiden Zeilen zurückliefert ist "Web UI" aktiviert, und das System verwundbar, es sei denn folgende Konfigurationsparameter sind ebenfalls gesetzt:

ip http active-session-modules none
ip http secure-active-session-modules none

Abhilfe

Aktuell stellt Cisco weder Sicherheitsaktualisierungen noch Workarounds zur Verfügung.

Cisco empfiehlt allen Kund:innen das verwundbare Feature auf allen öffentlich erreichbaren Systemen zu deaktivieren. Dies kann mittels des Absetzens folgender Befehle im Global Configuration Mode erreicht werden:

no ip http server
no ip http secure-server

Das Unternehmen hat ebenfalls einen Befehl zur Verfügung gestellt, mit welchem ein System auf die Präsenz eines von Angreifer:innen platzierten Implants geprüft werden kann; "systemip" ist hierbei die IP-Adresse es zu prüfenden Systems:

curl -k -X POST "https://systemip/webui/logoutconfirm.html?logon_hash=1"

Sollte der Befehl einen hexadezimalen String zurückliefern, so ist ein Implant installiert. Laut Cisco verfügt das Implant über keinen Persistenzmechanismus. Ein Neustart des infizierten Gerätes entfernt das Implant also, die durch Angreifer:innen erstellten, privilegierten Accounts bleiben jedoch weiterhin erhalten und müssen manuell bereinigt werden.

Weiters empfiehlt das Unternehmen, die eigenen Logfiles auf folgende Zeilen zu untersuchen, deren Präsenz auf eine erfolgte Kompromittierung hindeuten:

%SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as user on line
%SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: user] [Source: source_IP_address] at 03:42:13 UTC Wed Oct 11 2023
%WEBUI-6-INSTALL_OPERATION_INFO: User: username, Install Operation: ADD filename

An der Stelle von "user" kann hier "cisco_tac_admin", "cisco_support" oder ein beliebiger anderer, unbekannter, lokaler Account stehen; "filename" ist ein beliebiger, unbekannter Dateiname, der nicht mit einer erwarteten Installationsoperation in Verbindung zu bringen ist.

Die folgenden snort-Regeln stehen zur Verfügung, um eine Ausnutzung der Schwachstelle zu erkennen:
    3:50118:2 - can alert for initial implant injection
    3:62527:1 - can alert for implant interaction
    3:62528:1 - can alert for implant interaction
    3:62529:1 - can alert for implant interaction

Informationsquelle(n): >> Cisco Security Advisory <<

---