Jos näitä puutteita hyödynnetään, hyökkääjät voivat päästä luvattomasti arkaluontoisiin tietoihin tai aiheuttaa yleensä ongelmia
viime viikkojen aikana Cisco on ollut mukana vakavassa tietoturvaongelmassa Fyysisten ja virtuaalisten Cisco-laitteiden käyttöliittymän toteutuksessa Cisco IOS XE -käyttöjärjestelmän kanssa.
Ja lokakuun puolivälistä lähtien Uutinen julkaistiin, että kriittinen haavoittuvuus havaittiin (jo luetteloitu nimellä (CVE-2023-20198), joka mahdollistaa täyden pääsyn järjestelmään ilman todennusta suurimmalla käyttöoikeustasolla, jos sinulla on pääsy verkkoporttiin, jonka kautta verkkokäyttöliittymä toimii.
Mainitaan se ongelman vaara kasvaa johtuen siitä, että Hyökkääjät ovat käyttäneet korjaamatonta haavoittuvuutta yli kuukauden luoda lisää "cisco_tac_admin"- ja "cisco_support" -tilejä järjestelmänvalvojan oikeuksin ja asettaa automaattisesti implantti laitteisiin, jotka tarjoavat etäkäytön komentojen suorittamiseen laitteessa.
Haavoittuvuuden ongelmana on, että se luo toisen haavoittuvuuden (CVE-2023-20273), jota käytettiin hyökkäyksessä implantin asentamiseen laitteisiin, joissa on Cisco IOS XE. ja jota Cisco ilmoitti, että hyökkääjät käyttivät hyväkseen ensimmäistä haavoittuvuutta CVE-2023-20198 ja sallivat sen hyödyntämisen aikana luodun uuden tilin, jolla on pääkäyttäjän oikeudet, käyttää mielivaltaisten komentojen suorittamiseen laitteella.
Mainitaan, että haavoittuvuuden hyväksikäyttö CVE-2023-20198 sallii hyökkääjän saada käyttöoikeustason 15 pääsyn laitteeseen, jonka avulla voit sitten luoda paikallisen käyttäjän ja kirjautua sisään normaalilla käyttäjätunnuksella. Lisäksi tämä mahdollisti vahvistuksen ohituksen korvaamalla pyynnön merkit esityksellä "%xx". Voit esimerkiksi käyttää WMSA-palvelua (Web Service Management Agent) lähettämällä "POST /%2577ebui_wsma_HTTP" -pyynnön, joka kutsuu "webui_wsma_http" -käsittelijää vahvistamatta pääsyä.
Toisin kuin syyskuun tapaus, tähän lokakuun toimintaan sisältyi useita myöhempiä toimia, mukaan lukien "BadCandyksi" kutsutun implantin käyttöönotto, joka koostuu konfiguraatiotiedostosta ("cisco_service.conf"). Määritystiedosto määrittää uuden verkkopalvelimen päätepisteen (URI-polun), jota käytetään vuorovaikutuksessa implantin kanssa. Tämä päätepiste vastaanottaa tiettyjä parametreja, jotka kuvataan yksityiskohtaisemmin alla ja joiden avulla toimija voi suorittaa mielivaltaisia komentoja järjestelmätasolla tai IOS-tasolla. Jotta implantti aktivoituu, verkkopalvelin on käynnistettävä uudelleen; Ainakin yhdessä havaitussa tapauksessa palvelinta ei käynnistetty uudelleen, joten implanttia ei koskaan aktivoitu asennuksesta huolimatta.
BadCandy-istute tallennetaan tiedostopolkuun "/usr/binos/conf/nginx-conf/cisco_service.conf", joka sisältää kaksi heksadesimaalimerkeistä koostuvaa muuttujajonoa. Implantti on ei-pysyvä, mikä tarkoittaa, että laitteen uudelleenkäynnistys poistaa sen, mutta äskettäin luodut paikalliset käyttäjätilit pysyvät aktiivisina myös järjestelmän uudelleenkäynnistyksen jälkeen. Uusilla käyttäjätileillä on tason 15 oikeudet, mikä tarkoittaa, että heillä on täydet järjestelmänvalvojan käyttöoikeudet laitteeseen. Tämä etuoikeutettu pääsy laitteisiin ja myöhempi uusien käyttäjien luominen on rekisteröity CVE-2023-20198.
Tietoja tapauksesta Cisco on julkaissut päivitettyjä tietoja sekä tekemästään tutkimuksesta että esitettyjen haavoittuvuuksien teknisistä analyyseistä ja myös hyväksikäyttöprototyypistä, jonka on laatinut riippumaton tutkija hyökkääjäliikenteen analyysin perusteella.
Vaikka sopivan suojaustason varmistamiseksi on suositeltavaa avata pääsy verkkokäyttöliittymään vain valituille isännille tai paikalliselle verkolle, monet järjestelmänvalvojat jättävät mahdollisuuden muodostaa yhteys maailmanlaajuisesta verkosta. Erityisesti Shodan-palvelun mukaan maailmanlaajuisessa verkossa on tällä hetkellä yli 140 tuhatta mahdollisesti haavoittuvaa laitetta. CERT-organisaatio on jo rekisteröinyt noin 35 tuhatta Cisco-laitetta, joihin hyökättiin onnistuneesti.
Vihdoin jos olet kiinnostunut tietämään siitä lisää muistiinpanosta voit tutustua alkuperäiseen julkaisuun osoitteessa seuraava linkki.