如果被利用,这些漏洞可能允许攻击者未经授权访问敏感信息或通常会导致问题
在过去几周 思科遭遇严重安全问题 在配备的物理和虚拟 Cisco 设备上使用的 Web 界面的实现 与 Cisco IOS XE 操作系统。
而自十月中旬以来, 消息发布称发现了一个严重漏洞 (已编入 (CVE-2023-20198) 下,如果您有权访问 Web 界面运行的网络端口,则无需身份验证即可以最高级别的权限完全访问系统。
有人提到 问题的危险性加剧 由于以下事实: 攻击者利用未修补的漏洞已有一个多月了 创建具有管理员权限的附加“cisco_tac_admin”和“cisco_support”帐户,并自动在提供远程访问以在设备上执行命令的设备上放置植入程序。
该漏洞的问题在于它会产生第二个漏洞 (CVE-2023-20273),该漏洞被用于在运行 Cisco IOS XE 的设备上安装植入程序的攻击。 思科报告称,攻击者在利用第一个漏洞 CVE-2023-20198 后利用了该漏洞,并允许使用在利用期间创建的具有 root 权限的新帐户在设备上执行任意命令。
文中提到该漏洞的利用 CVE-2023-20198 允许攻击者获得对设备的权限级别 15 访问权限,然后您可以使用它来创建本地用户并以普通用户访问权限登录。 此外,还可以通过将请求中的字符替换为“%xx”来绕过验证。 例如,要访问 WMSA(Web 服务管理代理)服务,您可以发送“POST /%2577ebui_wsma_HTTP”请求,该请求将调用“webui_wsma_http”处理程序,而不验证访问权限。
与 XNUMX 月份的案例不同,这次 XNUMX 月份的活动包括多项后续行动,包括部署我们称为“BadCandy”的植入程序,该植入程序由配置文件(“cisco_service.conf”)组成。 配置文件定义了用于与植入程序交互的新 Web 服务器端点(URI 路径)。 该端点接收某些参数(下面将更详细地描述),这些参数允许参与者在系统级别或 IOS 级别执行任意命令。 为了激活植入程序,必须重新启动网络服务器; 在至少一个观察到的案例中,服务器没有重新启动,因此尽管安装了植入程序,但它从未被激活。
BadCandy 植入程序保存在文件路径“/usr/binos/conf/nginx-conf/cisco_service.conf”中,其中包含两个由十六进制字符组成的变量字符串。 该植入程序是非持久性的,这意味着设备重新启动后会将其删除,但新创建的本地用户帐户即使在系统重新启动后仍保持活动状态。 新用户帐户具有 15 级权限,这意味着他们拥有设备的完全管理员访问权限。 这种对设备的特权访问以及随后创建的新用户被注册为 CVE-2023-20198。
关于案例 思科已发布更新信息 既包括其已进行的研究,也包括对所提出漏洞的技术分析,以及由独立研究人员根据攻击者流量分析编写的漏洞利用原型。
尽管为了确保适当的安全级别,建议仅向选定的主机或本地网络开放对 Web 界面的访问,但许多管理员保留从全球网络进行连接的选项。 特别是,根据 Shodan 服务,目前全球网络上注册了超过 140 万个潜在易受攻击的设备。 CERT 组织已登记约 35 台思科设备被成功攻击。
最后 如果您有兴趣了解更多有关它的信息 关于注释,您可以查阅原始出版物中的 以下链接。