Om de utnyttjas kan dessa brister tillåta angripare att få obehörig åtkomst till känslig information eller i allmänhet orsaka problem
under de senaste veckorna Cisco har varit inblandad i ett allvarligt säkerhetsproblem i implementeringen av webbgränssnittet som används på fysiska och virtuella Cisco-enheter utrustade med operativsystemet Cisco IOS XE.
Och sedan mitten av oktober månad, Nyheten släpptes att en kritisk sårbarhet identifierats (redan katalogiserad under (CVE-2023-20198), vilket tillåter, utan autentisering, full åtkomst till systemet med maximal nivå av privilegier, om du har tillgång till nätverksporten genom vilken webbgränssnittet fungerar.
Det nämns det risken för problemet förvärras på grund av det faktum att Angripare har använt den opatchade sårbarheten i mer än en månad för att skapa ytterligare "cisco_tac_admin"- och "cisco_support"-konton med administratörsrättigheter, och att automatiskt placera ett implantat på enheter som ger fjärråtkomst för att utföra kommandon på enheten.
Problemet med sårbarheten är att den genererar en andra sårbarhet (CVE-2023-20273) som användes i en attack för att installera ett implantat på enheter som kör Cisco IOS XE. och som Cisco rapporterade att angriparna utnyttjade efter att ha utnyttjat den första sårbarheten CVE-2023-20198 och tillät användningen av ett nytt konto med roträttigheter, skapat under dess exploatering, för att exekvera godtyckliga kommandon på enheten.
Det nämns att utnyttjandet av sårbarheten CVE-2023-20198 tillåter en angripare att få åtkomst till enheten med behörighetsnivå 15, som du sedan kan använda för att skapa en lokal användare och logga in med normal användaråtkomst. Dessutom gjorde detta det möjligt att kringgå verifiering genom att ersätta tecken i begäran med representationen "%xx." Till exempel, för att få åtkomst till WMSA-tjänsten (Web Service Management Agent) kan du skicka en "POST /%2577ebui_wsma_HTTP"-förfrågan, som anropar "webui_wsma_http"-hanteraren utan att verifiera åtkomsten.
Till skillnad från fallet i september inkluderade denna oktoberaktivitet flera efterföljande åtgärder, inklusive utplaceringen av ett implantat som vi kallar "BadCandy" som består av en konfigurationsfil ("cisco_service.conf"). Konfigurationsfilen definierar den nya webbserverns slutpunkt (URI-sökväg) som används för att interagera med implantatet. Den slutpunkten tar emot vissa parametrar, som beskrivs mer i detalj nedan, som gör det möjligt för aktören att utföra godtyckliga kommandon på systemnivå eller på IOS-nivå. För att implantatet ska aktiveras måste webbservern startas om; I minst ett observerat fall startades inte servern om, så implantatet aktiverades aldrig trots att det var installerat.
BadCandy-implantatet sparas i filsökvägen "/usr/binos/conf/nginx-conf/cisco_service.conf" som innehåller två variabla strängar som består av hexadecimala tecken. Implantatet är icke-beständigt, vilket innebär att en omstart av enheten tar bort det, men nyskapade lokala användarkonton förblir aktiva även efter en omstart av systemet. Nya användarkonton har nivå 15-privilegier, vilket innebär att de har full administratörsåtkomst till enheten. Denna privilegierade åtkomst till enheter och det efterföljande skapandet av nya användare registreras som CVE-2023-20198.
Om fallet Cisco har släppt uppdaterad information både på den forskning den har genomfört samt på de tekniska analyserna av de sårbarheter som presenteras och även på en exploateringsprototyp, som utarbetats av en oberoende forskare baserat på en analys av angripartrafik.
Även om det, för att säkerställa lämplig säkerhetsnivå, rekommenderas att endast öppna åtkomst till webbgränssnittet för utvalda värdar eller det lokala nätverket, lämnar många administratörer möjligheten att ansluta från det globala nätverket. I synnerhet, enligt Shodan-tjänsten, finns det för närvarande mer än 140 tusen potentiellt sårbara enheter registrerade på det globala nätverket. CERT-organisationen har redan registrerat cirka 35 tusen Cisco-enheter som framgångsrikt attackerats.
Slutligen om du är intresserad av att veta mer om det om anteckningen kan du konsultera den ursprungliga publikationen i följande länk.