Jika dieksploitasi, kelemahan ini boleh membenarkan penyerang mendapat akses tanpa kebenaran kepada maklumat sensitif atau secara amnya menyebabkan masalah
semasa minggu-minggu terakhir Cisco telah terlibat dalam masalah keselamatan yang serius dalam pelaksanaan antara muka web yang digunakan pada peranti Cisco fizikal dan maya yang dilengkapi dengan sistem pengendalian Cisco IOS XE.
Dan sejak pertengahan bulan Oktober, Berita dikeluarkan bahawa kelemahan kritikal telah dikenal pasti (sudah dikatalogkan di bawah (CVE-2023-20198), yang membenarkan, tanpa pengesahan, akses penuh kepada sistem dengan tahap keistimewaan maksimum, jika anda mempunyai akses kepada port rangkaian yang melaluinya antara muka web beroperasi.
Disebutkan bahawa bahaya masalah menjadi lebih teruk disebabkan oleh fakta bahawa Penyerang telah menggunakan kelemahan yang tidak ditambal selama lebih daripada sebulan untuk membuat akaun "cisco_tac_admin" dan "cisco_support" tambahan dengan hak pentadbir, dan untuk meletakkan implan secara automatik pada peranti yang menyediakan akses jauh untuk melaksanakan arahan pada peranti.
Masalah dengan kelemahan ialah ia menjana kelemahan kedua (CVE-2023-20273) yang digunakan dalam serangan untuk memasang implan pada peranti yang menjalankan Cisco IOS XE. dan yang dilaporkan oleh Cisco bahawa penyerang mengambil kesempatan selepas mengeksploitasi kerentanan pertama CVE-2023-20198 dan membenarkan penggunaan akaun baharu dengan hak akar, yang dibuat semasa eksploitasinya, untuk melaksanakan arahan sewenang-wenangnya pada peranti.
Disebutkan bahawa eksploitasi terhadap kelemahan CVE-2023-20198 membenarkan penyerang mendapat akses tahap 15 keistimewaan kepada peranti, yang kemudiannya boleh anda gunakan untuk mencipta pengguna tempatan dan log masuk dengan akses pengguna biasa. Selain itu, ini membolehkan untuk memintas pengesahan dengan menggantikan aksara dalam permintaan dengan perwakilan "%xx." Contohnya, untuk mengakses perkhidmatan WMSA (Ejen Pengurusan Perkhidmatan Web), anda boleh menghantar permintaan "POST /%2577ebui_wsma_HTTP", yang memanggil pengendali "webui_wsma_http" tanpa mengesahkan akses.
Tidak seperti kes September, aktiviti Oktober ini termasuk beberapa tindakan seterusnya, termasuk penggunaan implan yang kami panggil "BadCandy" yang terdiri daripada fail konfigurasi ("cisco_service.conf"). Fail konfigurasi mentakrifkan titik akhir pelayan web baharu (laluan URI) yang digunakan untuk berinteraksi dengan implan. Titik akhir itu menerima parameter tertentu, yang diterangkan dengan lebih terperinci di bawah, yang membenarkan pelakon untuk melaksanakan arahan sewenang-wenangnya pada peringkat sistem atau pada peringkat IOS. Untuk implan diaktifkan, pelayan web mesti dimulakan semula; Dalam sekurang-kurangnya satu kes yang diperhatikan, pelayan tidak dimulakan semula, jadi implan tidak pernah diaktifkan walaupun telah dipasang.
Implan BadCandy disimpan dalam laluan fail "/usr/binos/conf/nginx-conf/cisco_service.conf" yang mengandungi dua rentetan pembolehubah yang terdiri daripada aksara heksadesimal. Implan tidak berterusan, bermakna but semula peranti akan mengalih keluarnya, tetapi akaun pengguna tempatan yang baru dibuat kekal aktif walaupun selepas but semula sistem. Akaun pengguna baharu mempunyai keistimewaan tahap 15, bermakna mereka mempunyai akses pentadbir penuh kepada peranti. Akses istimewa kepada peranti ini dan penciptaan pengguna baharu seterusnya didaftarkan sebagai CVE-2023-20198.
Mengenai kes itu Cisco telah mengeluarkan maklumat terkini kedua-dua penyelidikan yang telah dijalankan serta analisis teknikal kelemahan yang dibentangkan dan juga pada prototaip eksploitasi, yang disediakan oleh penyelidik bebas berdasarkan analisis trafik penyerang.
Walaupun, untuk memastikan tahap keselamatan yang sesuai, adalah disyorkan untuk membuka akses kepada antara muka web hanya kepada hos terpilih atau rangkaian tempatan, ramai pentadbir meninggalkan pilihan untuk menyambung daripada rangkaian global. Khususnya, menurut perkhidmatan Shodan, kini terdapat lebih daripada 140 ribu peranti yang berpotensi terdedah didaftarkan di rangkaian global. Organisasi CERT telah pun mendaftarkan sekitar 35 ribu peranti Cisco yang berjaya diserang.
Akhirnya sekiranya anda berminat untuk mengetahui lebih lanjut mengenainya mengenai nota, anda boleh merujuk kepada penerbitan asal dalam pautan berikut.