Als deze fouten worden misbruikt, kunnen aanvallers ongeoorloofde toegang krijgen tot gevoelige informatie of in het algemeen problemen veroorzaken
tijdens de laatste weken Cisco is betrokken bij een ernstig beveiligingsprobleem bij de implementatie van de webinterface die wordt gebruikt op fysieke en virtuele Cisco-apparaten met het Cisco IOS XE-besturingssysteem.
En sinds half oktober Er werd nieuws vrijgegeven dat er een kritieke kwetsbaarheid was geïdentificeerd (reeds gecatalogiseerd onder (CVE-2023-20198), waardoor, zonder authenticatie, volledige toegang tot het systeem mogelijk is met het maximale niveau van rechten, als u toegang heeft tot de netwerkpoort via welke de webinterface werkt.
Er wordt gezegd dat het gevaar van het probleem wordt vergroot vanwege het feit dat de Aanvallers maken al ruim een maand gebruik van de nog niet gepatchte kwetsbaarheid om extra “cisco_tac_admin”- en “cisco_support”-accounts met beheerdersrechten aan te maken, en om automatisch een implantaat te plaatsen op apparaten die externe toegang bieden om opdrachten op het apparaat uit te voeren.
Het probleem met de kwetsbaarheid is dat deze een tweede kwetsbaarheid genereert (CVE-2023-20273) die werd gebruikt bij een aanval om een implantaat te installeren op apparaten met Cisco IOS XE. en waarvan Cisco meldde dat de aanvallers misbruik maakten na het exploiteren van de eerste kwetsbaarheid CVE-2023-20198 en het gebruik van een nieuw account met rootrechten, aangemaakt tijdens de exploitatie ervan, toestonden om willekeurige opdrachten op het apparaat uit te voeren.
Er wordt vermeld dat er misbruik wordt gemaakt van de kwetsbaarheid Met CVE-2023-20198 kan een aanvaller toegang op privilegeniveau 15 tot het apparaat verkrijgen, waarmee u vervolgens een lokale gebruiker kunt aanmaken en kunt inloggen met normale gebruikerstoegang. Bovendien maakte dit het mogelijk om de verificatie te omzeilen door tekens in het verzoek te vervangen door de representatie "%xx". Om bijvoorbeeld toegang te krijgen tot de WMSA-service (Web Service Management Agent), kunt u een “POST /%2577ebui_wsma_HTTP”-verzoek verzenden, dat de “webui_wsma_http”-handler aanroept zonder de toegang te verifiëren.
In tegenstelling tot het geval van september omvatte deze activiteit van oktober verschillende daaropvolgende acties, waaronder de inzet van een implantaat dat we "BadCandy" noemen en dat bestaat uit een configuratiebestand ("cisco_service.conf"). Het configuratiebestand definieert het nieuwe webservereindpunt (URI-pad) dat wordt gebruikt voor interactie met het implantaat. Dat eindpunt ontvangt bepaalde parameters, die hieronder in meer detail worden beschreven, waarmee de actor willekeurige opdrachten kan uitvoeren op systeemniveau of op IOS-niveau. Om het implantaat te activeren, moet de webserver opnieuw worden opgestart; In ten minste één waargenomen geval werd de server niet opnieuw opgestart, waardoor het implantaat ondanks de installatie nooit werd geactiveerd.
Het BadCandy-implantaat wordt opgeslagen in het bestandspad “/usr/binos/conf/nginx-conf/cisco_service.conf” dat twee variabele strings bevat die bestaan uit hexadecimale tekens. Het implantaat is niet-persistent, wat betekent dat het opnieuw opstarten van het apparaat het zal verwijderen, maar nieuw aangemaakte lokale gebruikersaccounts blijven actief, zelfs nadat het systeem opnieuw is opgestart. Nieuwe gebruikersaccounts hebben rechten van niveau 15, wat betekent dat ze volledige beheerderstoegang tot het apparaat hebben. Deze bevoorrechte toegang tot apparaten en de daaropvolgende creatie van nieuwe gebruikers wordt geregistreerd als CVE-2023-20198.
Over de zaak Cisco heeft bijgewerkte informatie vrijgegeven zowel op het onderzoek dat het heeft uitgevoerd als op de technische analyses van de gepresenteerde kwetsbaarheden en ook op een exploit-prototype, dat is opgesteld door een onafhankelijke onderzoeker op basis van een analyse van het verkeer van aanvallers.
Hoewel het, om het juiste beveiligingsniveau te garanderen, wordt aanbevolen om de toegang tot de webinterface alleen open te stellen voor geselecteerde hosts of het lokale netwerk, laten veel beheerders de mogelijkheid over om verbinding te maken vanaf het wereldwijde netwerk. Volgens de Shodan-service zijn er momenteel meer dan 140 potentieel kwetsbare apparaten geregistreerd op het wereldwijde netwerk. De CERT-organisatie heeft al ongeveer 35 Cisco-apparaten geregistreerd die met succes zijn aangevallen.
Eindelijk als u er meer over wilt weten over de notitie kunt u de originele publicatie raadplegen in de volgende link.