Si elles sont exploitées, ces failles peuvent permettre aux attaquants d'obtenir un accès non autorisé à des informations sensibles ou de causer des problèmes en général.
au cours des dernières semaines Cisco a été impliqué dans un grave problème de sécurité dans la mise en œuvre de l'interface web utilisée sur les appareils Cisco physiques et virtuels équipés avec le système d'exploitation Cisco IOS XE.
Et depuis le milieu du mois d'octobre, La nouvelle a été publiée selon laquelle une vulnérabilité critique a été identifiée (déjà catalogué sous (CVE-2023-20198), qui permet, sans authentification, un accès complet au système avec le niveau maximum de privilèges, si vous avez accès au port réseau par lequel fonctionne l'interface web.
Il est mentionné que le danger du problème est aggravé du fait que le Les attaquants utilisent la vulnérabilité non corrigée depuis plus d'un mois pour créer des comptes « cisco_tac_admin » et « cisco_support » supplémentaires avec des droits d'administrateur, et pour placer automatiquement un implant sur les appareils qui fournit un accès à distance pour exécuter des commandes sur l'appareil.
Le problème avec la vulnérabilité est qu'elle génère une deuxième vulnérabilité (CVE-2023-20273) qui a été utilisé dans une attaque visant à installer un implant sur des appareils exécutant Cisco IOS XE. et dont Cisco a signalé que les attaquants ont profité après avoir exploité la première vulnérabilité CVE-2023-20198 et autorisé l'utilisation d'un nouveau compte avec les droits root, créé lors de son exploitation, pour exécuter des commandes arbitraires sur l'appareil.
Il est mentionné que l'exploitation de la vulnérabilité CVE-2023-20198 permet à un attaquant d'obtenir un accès de niveau de privilège 15 à l'appareil, que vous pouvez ensuite utiliser pour créer un utilisateur local et vous connecter avec un accès utilisateur normal. De plus, cela permettait de contourner la vérification en remplaçant les caractères de la requête par la représentation « %xx ». Par exemple, pour accéder au service WMSA (Web Service Management Agent), vous pouvez envoyer une requête « POST /%2577ebui_wsma_HTTP », qui appelle le gestionnaire « webui_wsma_http » sans vérifier l'accès.
Contrairement au cas de septembre, cette activité d'octobre comprenait plusieurs actions ultérieures, notamment le déploiement d'un implant que nous appelons « BadCandy » qui consiste en un fichier de configuration (« cisco_service.conf »). Le fichier de configuration définit le nouveau point de terminaison du serveur Web (chemin URI) utilisé pour interagir avec l'implant. Ce point de terminaison reçoit certains paramètres, décrits plus en détail ci-dessous, qui permettent à l'acteur d'exécuter des commandes arbitraires au niveau du système ou au niveau de l'IOS. Pour que l'implant s'active, le serveur web doit être redémarré ; Dans au moins un cas observé, le serveur n’a pas été redémarré, de sorte que l’implant n’a jamais été activé malgré son installation.
L'implant BadCandy est enregistré dans le chemin du fichier « /usr/binos/conf/nginx-conf/cisco_service.conf » qui contient deux chaînes variables composées de caractères hexadécimaux. L'implant n'est pas persistant, ce qui signifie qu'un redémarrage de l'appareil le supprimera, mais les comptes d'utilisateurs locaux nouvellement créés restent actifs même après un redémarrage du système. Les nouveaux comptes d'utilisateurs disposent de privilèges de niveau 15, ce qui signifie qu'ils disposent d'un accès administrateur complet à l'appareil. Cet accès privilégié aux appareils et la création ultérieure de nouveaux utilisateurs sont enregistrés sous le numéro CVE-2023-20198.
À propos de l'affaire Cisco a publié des informations mises à jour tant sur les recherches effectuées que sur les analyses techniques des vulnérabilités présentées et également sur un prototype d'exploit, qui a été préparé par un chercheur indépendant sur la base d'une analyse du trafic des attaquants.
Bien que, pour garantir le niveau de sécurité approprié, il soit recommandé d'ouvrir l'accès à l'interface Web uniquement aux hôtes sélectionnés ou au réseau local, de nombreux administrateurs laissent la possibilité de se connecter depuis le réseau mondial. En particulier, selon le service Shodan, il existe actuellement plus de 140 35 appareils potentiellement vulnérables enregistrés sur le réseau mondial. L'organisation CERT a déjà enregistré environ XNUMX XNUMX appareils Cisco attaqués avec succès.
Enfin si vous souhaitez en savoir plus sur la note, vous pouvez consulter la publication originale dans le lien suivant