Cisco IOS XE 軟件 Web UI 權限升級漏洞

咨詢編號:cisco-sa-iosxe-webui-privesc-j22SaA4z
首次發布:2023 年 10 月 16 日 15:00(格林尼治標準時間)
最近更新時間:2023 年 10 月 16 日 21:11(格林尼治標準時間)
1.1版:臨時
解決方法:沒有可用的解決方法
思科錯誤 ID:CSCwh87343
CVSS 分數:基礎10.0

概括

思科意識到,當暴露于互聯網或不受信任的網絡時,Cisco IOS XE 軟件的 Web UI 功能中的一個先前未知的漏洞會被主動利用。此漏洞允許未經身份驗證的遠程攻擊者在受影響的系統上創建具有 15 級訪問權限的帳戶。然后,攻擊者可以使用該帳戶來控制受影響的系統。

有關關閉此漏洞攻擊媒介的步驟,請參閱此通報的建議部分。

思科將提供有關此次調查的狀態以及軟件補丁何時可用的最新信息。

此通報可通過以下鏈接獲取:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z

易受影響的產品

如果啟用了 Web UI 功能,此漏洞會影響 Cisco IOS XE 軟件。Web UI 功能通過ip http serverip http secure-server命令啟用。

確定 HTTP 服務器配置

要確定系統是否啟用了 HTTP Server 功能,請登錄系統并使用show running-config |?在 CLI 中包含 ip http server|secure|active命令,以檢查全局配置中是否存在ip http server命令或ip http secure-server命令。如果存在任一命令,則系統將啟用 HTTP 服務器功能。

以下示例顯示了show running-config |的輸出?對于啟用了 HTTP 服務器功能的系統,包含 ip http server|secure|active命令:

路由器#顯示運行配置 | 包括 ip http 服務器|安全|活動
ip http 服務器
ip http 安全服務器

注意:系統配置中出現任一命令或同時存在這兩個命令表示 Web UI 功能已啟用。

如果存在ip http server命令并且配置還包含ip http active-session-modules none,則無法通過 HTTP 利用該漏洞。

如果存在ip http secure-server命令并且配置還包含ip http secure-active-session-modules none,則無法通過 HTTPS 利用該漏洞。

細節

Web UI 是一種基于 GUI 的嵌入式系統管理工具,能夠提供系統配置、簡化系統部署和可管理性以及增強用戶體驗。它帶有默認映像,因此無需在系統上啟用任何內容或安裝任何許可證。Web UI 可用于構建配置以及監控系統和排除系統故障,而無需 CLI 專業知識。

Web UI 和管理服務不應暴露于互聯網或不受信任的網絡。

妥協指標

要確定系統是否已受到損害,請執行以下檢查:

檢查系統日志中是否存在以下任何日志消息,其中用戶可能是cisco_tac_admincisco_support或網絡管理員未知的任何已配置本地用戶:

%SYS-5-CONFIG_P:通過進程 SEP_webui_wsma_http 從控制臺以用戶身份在線
% 
SEC_LOGIN-5-WEBLOGIN_SUCCESS:以編程方式配置 %SEC_LOGIN-5-WEBLOGIN_SUCCESS:登錄成功 [user: user ] [Source: source_IP_address ] at 03:42:13 UTC 2023 年 10 月 11 日星期三
注意:用戶訪問 Web UI 的每個實例都會出現%SYS-5-CONFIG_P消息。要查找的指示符是消息中存在的新的或未知的用戶名。
檢查系統日志中是否有以下消息,其中filename是與預期文件安裝操作不相關的未知文件名:
%WEBUI-6-INSTALL_OPERATION_INFO:用戶:用戶名,安裝操作:ADD文件名
Cisco Talos 提供了以下命令來檢查植入程序是否存在,其中systemip是要檢查的系統的 IP 地址。應從有權訪問相關系統的工作站發出此命令:
卷曲-k -X POST“https: //systemip/webui/logoutconfirm.html ?logon_hash=1”

如果請求返回十六進制字符串,則表明存在植入程序。

注意:如果系統配置為僅進行 HTTP 訪問,請使用命令示例中的 HTTP 方案。

以下 Snort 規則 ID 也可用于檢測漏洞利用:

解決方法

沒有解決此漏洞的解決方法。

建議

思科強烈建議客戶在所有面向互聯網的系統上禁用 HTTP 服務器功能。要禁用 HTTP 服務器功能,請在全局配置模式下使用no ip http serverno ip http secure-server命令。如果同時使用HTTP服務器和HTTPS服務器,則需要這兩個命令來禁用HTTP服務器功能。

以下決策樹可用于幫助確定如何對環境進行分類并部署保護措施:

  • 你運行的是 IOS XE 嗎?
    • 。該系統不易受到攻擊。無需采取進一步行動。
    • 是的。是否配置了ip http serverip http secure-server
      • 。該漏洞不可利用。無需采取進一步行動。
      • 是的。您是否運行需要 HTTP/HTTPS 通信的服務(例如 eWLC)?
        • 。禁用 HTTP 服務器功能。
        • 是的。如果可能,將對這些服務的訪問限制為受信任的網絡。

對這些服務實施訪問控制時,請務必檢查控制措施,因為生產服務可能會中斷。如果您不確定這些步驟,請與您的支持組織合作確定適當的控制措施。

實施任何更改后,請使用copy running-configurationstartup-configuration命令保存running-configuration。這將確保在系統重新加載時不會恢復更改。

漏洞利用和公告

思科已意識到該漏洞正在被積極利用。

來源

修訂記錄

1.1 添加了分類決策樹。 建議 臨時 2023 年 10 月 16 日
1.0 首次公開發布。 臨時 2023 年 10 月 16 日
網絡安全隱私保護
-=||=-收藏贊 (0)
保貝狗是一款個人信息保護產品。 » 未修補的關鍵思科零日漏洞正在被積極利用
分享到

相關推薦

保貝狗

保貝狗是一款免費的個人信息保護產品
大家都在用的隱私保護軟件
保貝狗專注于個人信息保護的研究
實用、簡單、方便、快捷

QQ聯系我們微信聯系我們