જો શોષણ કરવામાં આવે તો, આ ખામીઓ હુમલાખોરોને સંવેદનશીલ માહિતીની અનધિકૃત ઍક્સેસ મેળવવા અથવા સામાન્ય રીતે સમસ્યાઓનું કારણ બની શકે છે.
છેલ્લા અઠવાડિયા દરમિયાન સિસ્કો ગંભીર સુરક્ષા સમસ્યામાં સામેલ છે સજ્જ ભૌતિક અને વર્ચ્યુઅલ સિસ્કો ઉપકરણો પર ઉપયોગમાં લેવાતા વેબ ઇન્ટરફેસના અમલીકરણમાં Cisco IOS XE ઓપરેટિંગ સિસ્ટમ સાથે.
અને ઓક્ટોબરના મધ્યથી, સમાચાર બહાર પાડવામાં આવ્યા હતા કે એક જટિલ નબળાઈ ઓળખવામાં આવી હતી (CVE-2023-20198 હેઠળ પહેલેથી જ સૂચિબદ્ધ છે), જે પ્રમાણીકરણ વિના, મહત્તમ સ્તરના વિશેષાધિકારો સાથે સિસ્ટમની સંપૂર્ણ ઍક્સેસની મંજૂરી આપે છે, જો તમારી પાસે નેટવર્ક પોર્ટની ઍક્સેસ હોય જેના દ્વારા વેબ ઇન્ટરફેસ ચાલે છે.
તેવો ઉલ્લેખ છે સમસ્યાનું જોખમ વધી ગયું છે હકીકત એ છે કે કારણે હુમલાખોરો એક મહિના કરતાં વધુ સમયથી અનપેચ્ડ નબળાઈનો ઉપયોગ કરી રહ્યાં છે એડમિનિસ્ટ્રેટર અધિકારો સાથે વધારાના “cisco_tac_admin” અને “cisco_support” એકાઉન્ટ્સ બનાવવા માટે, અને ઉપકરણ પર આદેશો ચલાવવા માટે રિમોટ એક્સેસ પ્રદાન કરતા ઉપકરણો પર આપમેળે ઇમ્પ્લાન્ટ મૂકવા માટે.
નબળાઈની સમસ્યા એ છે કે તે બીજી નબળાઈ પેદા કરે છે (CVE-2023-20273) જેનો ઉપયોગ Cisco IOS XE ચલાવતા ઉપકરણો પર ઇમ્પ્લાન્ટ ઇન્સ્ટોલ કરવા હુમલામાં કરવામાં આવ્યો હતો. અને જે સિસ્કોએ અહેવાલ આપ્યો હતો કે હુમલાખોરોએ પ્રથમ નબળાઈ CVE-2023-20198 નો ઉપયોગ કર્યા પછી લાભ લીધો હતો અને ઉપકરણ પર મનસ્વી આદેશો ચલાવવા માટે તેના શોષણ દરમિયાન બનાવેલ રૂટ અધિકારો સાથેના નવા એકાઉન્ટનો ઉપયોગ કરવાની મંજૂરી આપી હતી.
જેમાં નબળાઈના શોષણનો ઉલ્લેખ છે CVE-2023-20198 હુમલાખોરને ઉપકરણની વિશેષાધિકાર સ્તર 15 ઍક્સેસ મેળવવાની મંજૂરી આપે છે, જે પછી તમે સ્થાનિક વપરાશકર્તા બનાવવા અને સામાન્ય વપરાશકર્તા ઍક્સેસ સાથે લૉગ ઇન કરવા માટે ઉપયોગ કરી શકો છો. વધુમાં, આનાથી વિનંતીમાંના અક્ષરોને "%xx" ની રજૂઆત સાથે બદલીને ચકાસણીને બાયપાસ કરવાનું શક્ય બન્યું. ઉદાહરણ તરીકે, WMSA (વેબ સર્વિસ મેનેજમેન્ટ એજન્ટ) સેવાને ઍક્સેસ કરવા માટે, તમે "POST /%2577ebui_wsma_HTTP" વિનંતી મોકલી શકો છો, જે ઍક્સેસની ચકાસણી કર્યા વિના "webui_wsma_http" હેન્ડલરને કૉલ કરે છે.
સપ્ટેમ્બરના કેસથી વિપરીત, આ ઑક્ટોબરની પ્રવૃત્તિમાં અનુગામી ક્રિયાઓનો સમાવેશ થાય છે, જેમાં અમે "BadCandy" કહીએ છીએ તે ઇમ્પ્લાન્ટની જમાવટનો સમાવેશ થાય છે જેમાં રૂપરેખાંકન ફાઇલ ("cisco_service.conf") હોય છે. રૂપરેખાંકન ફાઇલ ઇમ્પ્લાન્ટ સાથે ક્રિયાપ્રતિક્રિયા કરવા માટે ઉપયોગમાં લેવાતા નવા વેબ સર્વર એન્ડપોઇન્ટ (URI પાથ)ને વ્યાખ્યાયિત કરે છે. તે અંતિમ બિંદુ ચોક્કસ પરિમાણો મેળવે છે, જે નીચે વધુ વિગતવાર વર્ણવેલ છે, જે અભિનેતાને સિસ્ટમ સ્તરે અથવા IOS સ્તરે મનસ્વી આદેશો ચલાવવાની મંજૂરી આપે છે. ઇમ્પ્લાન્ટને સક્રિય કરવા માટે, વેબ સર્વરને પુનઃપ્રારંભ કરવું આવશ્યક છે; ઓછામાં ઓછા એક અવલોકન કરાયેલ કેસમાં, સર્વર પુનઃપ્રારંભ કરવામાં આવ્યું ન હતું, તેથી ઇમ્પ્લાન્ટ ઇન્સ્ટોલ કરવામાં આવ્યું હોવા છતાં ક્યારેય સક્રિય થયું ન હતું.
બેડકેન્ડી ઇમ્પ્લાન્ટ ફાઇલ પાથ “/usr/binos/conf/nginx-conf/cisco_service.conf” માં સાચવવામાં આવે છે જેમાં હેક્સાડેસિમલ અક્ષરોથી બનેલા બે વેરીએબલ સ્ટ્રિંગ હોય છે. ઇમ્પ્લાન્ટ બિન-સતત છે, એટલે કે ઉપકરણ રીબૂટ તેને દૂર કરશે, પરંતુ નવા બનાવેલા સ્થાનિક વપરાશકર્તા એકાઉન્ટ્સ સિસ્ટમ રીબૂટ પછી પણ સક્રિય રહે છે. નવા વપરાશકર્તા એકાઉન્ટ્સમાં લેવલ 15 વિશેષાધિકારો છે, એટલે કે તેમની પાસે ઉપકરણની સંપૂર્ણ વ્યવસ્થાપક ઍક્સેસ છે. ઉપકરણોની આ વિશેષાધિકૃત ઍક્સેસ અને નવા વપરાશકર્તાઓની અનુગામી રચના CVE-2023-20198 તરીકે નોંધાયેલ છે.
કેસ વિશે સિસ્કો અપડેટ માહિતી બહાર પાડી રહ્યું છે તેણે કરેલા સંશોધન પર તેમજ પ્રસ્તુત નબળાઈઓના ટેકનિકલ વિશ્લેષણ પર અને એક્સપ્લોઈટ પ્રોટોટાઈપ પર પણ, જે હુમલાખોર ટ્રાફિકના વિશ્લેષણના આધારે સ્વતંત્ર સંશોધક દ્વારા તૈયાર કરવામાં આવ્યું હતું.
તેમ છતાં, યોગ્ય સ્તરની સુરક્ષા સુનિશ્ચિત કરવા માટે, ફક્ત પસંદ કરેલા હોસ્ટ અથવા સ્થાનિક નેટવર્કને જ વેબ ઇન્ટરફેસની ઍક્સેસ ખોલવાની ભલામણ કરવામાં આવે છે, ઘણા સંચાલકો વૈશ્વિક નેટવર્કથી કનેક્ટ થવાનો વિકલ્પ છોડી દે છે. ખાસ કરીને, શોદાન સેવા અનુસાર, હાલમાં વૈશ્વિક નેટવર્ક પર 140 હજારથી વધુ સંભવિત રૂપે સંવેદનશીલ ઉપકરણો નોંધાયેલા છે. CERT સંસ્થાએ પહેલાથી જ લગભગ 35 હજાર સિસ્કો ઉપકરણોની નોંધણી કરી છે જે સફળતાપૂર્વક હુમલો કરી ચૂક્યા છે.
છેલ્લે જો તમને તેના વિશે વધુ જાણવામાં રસ છે નોંધ વિશે, તમે મૂળ પ્રકાશનનો સંપર્ક કરી શકો છો નીચેની કડી