Išnaudojami šie trūkumai gali leisti užpuolikams gauti neteisėtą prieigą prie slaptos informacijos arba apskritai sukelti problemų.
per paskutines savaites „Cisco“ buvo įtraukta į rimtą saugumo problemą diegiant žiniatinklio sąsają, naudojamą fiziniuose ir virtualiuose Cisco įrenginiuose su Cisco IOS XE operacine sistema.
Ir nuo spalio mėnesio vidurio Paskelbta žinia, kad buvo nustatytas kritinis pažeidžiamumas (jau įtraukta į katalogą (CVE-2023-20198), leidžianti be autentifikavimo visišką prieigą prie sistemos su didžiausiu privilegijų lygiu, jei turite prieigą prie tinklo prievado, per kurį veikia žiniatinklio sąsaja.
Minima, kad problemos pavojus pasunkėja dėl to, kad Užpuolikai naudojo nepataisytą pažeidžiamumą daugiau nei mėnesį sukurti papildomas „cisco_tac_admin“ ir „cisco_support“ paskyras su administratoriaus teisėmis ir automatiškai įdėti implantą į įrenginius, kurie suteikia nuotolinę prieigą prie komandų vykdymo įrenginyje.
Pažeidžiamumo problema yra ta, kad jis sukuria antrą pažeidžiamumą (CVE-2023-20273), kuris buvo naudojamas atakoje implantui įdiegti įrenginiuose, kuriuose veikia Cisco IOS XE. ir kuriuo Cisco pranešė, kad užpuolikai pasinaudojo išnaudoję pirmąjį pažeidžiamumą CVE-2023-20198 ir leido naudoti naują paskyrą su root teisėmis, sukurtą jos išnaudojimo metu, vykdyti savavališkas komandas įrenginyje.
Minima, kad pažeidžiamumo išnaudojimas CVE-2023-20198 leidžia užpuolikui gauti 15 privilegijų lygio prieigą prie įrenginio, kurią galite naudoti norėdami sukurti vietinį vartotoją ir prisijungti naudodami įprastą vartotojo prieigą. Be to, tai leido apeiti patikrinimą, pakeičiant užklausos simbolius vaizde „%xx“. Pavyzdžiui, norėdami pasiekti WMSA (žiniatinklio paslaugų valdymo agento) paslaugą, galite išsiųsti „POST /%2577ebui_wsma_HTTP“ užklausą, kuri iškviečia „webui_wsma_http“ tvarkyklę nepatvirtinusi prieigos.
Kitaip nei rugsėjo mėn., ši spalio mėnesio veikla apėmė keletą tolesnių veiksmų, įskaitant implanto, kurį vadiname „BadCandy“, kurį sudaro konfigūracijos failas („cisco_service.conf“), įdiegimą. Konfigūracijos failas apibrėžia naują žiniatinklio serverio galinį tašką (URI kelią), naudojamą sąveikai su implantu. Šis galutinis taškas gauna tam tikrus parametrus, išsamiau aprašytus toliau, kurie leidžia aktoriui vykdyti savavališkas komandas sistemos arba IOS lygiu. Kad implantas įsijungtų, žiniatinklio serverį reikia paleisti iš naujo; Bent vienu pastebėtu atveju serveris nebuvo paleistas iš naujo, todėl implantas niekada nebuvo suaktyvintas, nors buvo įdiegtas.
„BadCandy“ implantas išsaugomas failo kelyje „/usr/binos/conf/nginx-conf/cisco_service.conf“, kuriame yra dvi kintamųjų eilutės, sudarytos iš šešioliktainių simbolių. Implantas yra nepastovus, o tai reiškia, kad įrenginio perkrovimas jį pašalins, tačiau naujai sukurtos vietinės vartotojų paskyros išlieka aktyvios net ir paleidus sistemą iš naujo. Naujos vartotojų paskyros turi 15 lygio teises, tai reiškia, kad jos turi visišką administratoriaus prieigą prie įrenginio. Ši privilegijuota prieiga prie įrenginių ir vėlesnis naujų vartotojų kūrimas yra užregistruotas kaip CVE-2023-20198.
Apie bylą „Cisco“ išleido atnaujintą informaciją tiek apie jos atliktus tyrimus, tiek apie pateiktų pažeidžiamumų technines analizes, taip pat apie išnaudojimo prototipą, kurį parengė nepriklausomas tyrėjas, remdamasis užpuolikų srauto analize.
Nors, siekiant užtikrinti tinkamą saugumo lygį, prieigą prie žiniatinklio sąsajos rekomenduojama atverti tik pasirinktiems pagrindiniams kompiuteriams arba vietiniam tinklui, daugelis administratorių palieka galimybę prisijungti iš pasaulinio tinklo. Visų pirma, „Shodan“ tarnybos duomenimis, šiuo metu pasauliniame tinkle užregistruota daugiau nei 140 tūkst. CERT organizacija jau užregistravo apie 35 tūkstančius sėkmingai užpultų Cisco įrenginių.
Pagaliau jei norite sužinoti daugiau apie tai apie pastabą galite peržiūrėti originalų leidinį sekanti nuoroda.