Cisco 近日發布,Cisco IOS XE 軟體 Web UI 權限升級漏洞

風險等級: 高度威脅
摘 要: 弱點通告:Cisco 近日發布,Cisco IOS XE 軟體 Web UI 權限升級漏洞。
影響系統:
  • 所有Cisco IOS XE 軟體啟用了 Web UI 功能
解決辦法: 建議客戶在所有面向網際網路的系統上停用 HTTP 伺服器功能。若要停用 HTTP 伺服器功能,請在全域設定模式下使用no ip http server或no ip http secure-server指令。如果同時使用HTTP伺服器和HTTPS伺服器,則需要這兩個命令來停用HTTP伺服器功能。
以下決策樹可用於協助確定如何對環境進行分類並部署保護措施:
你運行的是 IOS XE 嗎?
第一階段
不。該系統不易受到攻擊。無需採取進一步行動。
是的。是否配置了ip http server或ip http secure-server?
第二階段
不。該漏洞不可利用。無需採取進一步行動。
是的。您是否執行需要 HTTP/HTTPS 通訊的服務(例如 eWLC)?
第三階段
不。禁用 HTTP 伺服器功能。
是的。如果可能,將這些服務的存取權限限制為受信任的網路。
基於對漏洞的進一步了解,應用於 HTTP 伺服器功能以限制來自不受信任的主機和網路的存取的存取清單是一種有效的緩解措施。
對這些服務實施存取控制時,請務必檢查控制措施,因為生產服務可能會中斷。
實作任何變更後,請使用copy running-configurationstartup-configuration指令儲存running-configuration。這將確保在系統重新載入時不會恢復變更。
細節描述: Cisco 近日發布,Cisco IOS XE 軟體 Web UI 權限升級漏洞。暴露於網際網路或不受信任的網路時,Cisco IOS XE 軟體的 Web UI
功能中的一個先前未知的弱點會被主動利用。此弱點允許未經身份驗證的遠端攻擊者在受影響的系統上建立具有 15 級存取權限的帳戶。然後,攻擊者可以使用該帳戶來控制受影響的系統。

若要確定系統是否已受到損害,請執行下列檢查:
檢查系統日誌中是否存在以下任何日誌訊息,其中使用者可能是cisco_tac_admin、cisco_support
或網路管理員未知的任何已配置本機使用者:
%SYS-5-CONFIG_P:透過程序 SEP_webui_wsma_http 從控制台以使用者身分在線
%SEC_LOGIN-5-WEBLOGIN_SUCCESS:以程式設定 %SEC_LOGIN-5-WEBLOGIN_SUCCESS:登入成功
[user: user ] [Source: source_IP_address at 0033: 42:13 UTC 2023 年10月11 日星期三

注意:使用者存取 Web UI 的每個實例都會出現%SYS-5-CONFIG_P訊息。要尋找的指示符是訊息中存在的新的或未知的使用者名稱。

檢查系統日誌中是否有以下訊息,其中filename是與預期檔案安裝操作不相關的未知檔案名稱:
%WEBUI-6-INSTALL_OPERATION_INFO:使用者:使用者名,安裝作業:ADD檔名 Cisco Talos 提供了以下命令來檢查植入程式是否存在,其中systemip是要檢查的系統的 IP 位址。

應從有權存取相關系統的工作站發出此命令:
-k -X POST“https: //systemip/webui/logoutconfirm.html ?logon_hash=1”
如果請求傳回十六進位字串,則表示存在植入程式。

注意:如果系統配置為僅進行 HTTP 訪問,請使用命令範例中的 HTTP 方案。

以下 Snort 規則 ID 也可用於偵測弱點:

3:50118:2 – 可以針對初始植入物注射發出警報
3:62527:1 – 可以針對植入物互動發出警報
3:62528:1 – 可以針對植入物互動發出警報
3:62529:1 – 可以針對植入物互動發出警報

參考資訊: CiscoSecurityAdvisory

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *