سیسکو در بولتن امنیتیش خبر از یه آسیب پذیری بحرانی و زیرودی با امتیاز 10 در Cisco IOS XE داده، که در زمان نگارش این پست، اصلاحیه ای هم براش منتشر نشده.
این آسیب پذیری که زیرودی هم هستش، شناسه CVE-2023-20198 داره و در ویژگی WEB UI در محصول Cisco IOS XE رخ میده. البته این محصول باید از طریق اینترنت یا یه شبکه غیرقابل اعتماد در دسترس باشه که بشه اکسپلویتش کرد.
مهاجم راه دور و بدون احرازهویت، امکان ایجاد یه اکانت با امتیاز سطح 15 رو داره که منجر به دسترسی و کنترل کامل دستگاه توسط مهاجم میشه.
آسیب پذیری در 28 سپتامبر/ 6 مهر توسط TAC بعد از چندین گزارش توسط کاربران، کشف شده. سیسکو بعد از بررسی متوجه شده که این حملات به 18 سپتامبر برمیگرده. در این حملات یه کاربر محلی با نام کاربری cisco_tac_admin از IP:5.149.249[.]74 ایجاد شده .
در نهایت سیسکو در 12 اکتبر ، وقتی یه اکانت محلی با نام کاربری cisco_support از آدرس IP:154.53.56[.]231 ایجاد شد، جزییات دیگه ای از نحوه اکسپلویت و استقرار بدافزار کشف میکنه.
سیسکو گفته احتمالا حمله اولی برای تست و ارزیابی بوده، اما حمله اکتبر برای گسترش حمله و استقرار بدافزار برای پرسیست و اجرای دستورات در سطح سیستم و IOS بوده.
در کل آسیب پذیری در محصول Cisco IOS XE که ویژگی های WEB UI و HTTP Server یا HTTPS Server فعال باشه و همچنین از طریق اینترنت یا یه شبکه غیرایمن، دردسترس باشه، تاثیر میزاره.
از کجا بدونیم ویژگی WEB UI فعاله:
آسیب پذیری همونطور که گفته شد روی Cisco IOS XE تاثیر میزاره ، البته باید ویژگی WEB UI اش فعال باشه. این ویژگی توسط دستورات زیر فعال میشه :
|
1 2 3 |
ip http server or ip http secure-server |
برای اینکه مشخص کنید که آیا ویژگی HTTP Server برای یه سیستم فعاله یا نه ، وارد سیستم شده و دستور زیر بزنید :
|
1 |
show running-config | include ip http server|secure|active |
در ادامه دستورات زیر رو بررسی کنید :
|
1 2 |
ip http server ip http secure-server |
اگه هر یک از دستور وجود داشته باشه، ویژگی HTTP Server روی اون سیستم فعاله و در نتیجه ویژگی WEB UI هم فعاله که نشون دهنده آسیب پذیر بودن دستگاه هستش :
|
1 2 3 |
Router# show running-config | include ip http server|secure|active ip http server ip http secure-server |
اگه خروجی شامل ip http server و پیکربندی شامل ip http active-session-modules none بود، سیستم از طریق HTTP قابل اکسپلویت نیست.
اگه خروجی شامل ip http secure-server و پیکربندی شامل ip http secure-active-session-modules none بود، سیستم از طریق HTTPS قابل اکسپلویت نیست.
از کجا بدونیم که هک شدیم :
موارد زیر رو در لاگ های سیستم برای هر یک از کاربران cisco_tac_admin و cisco_support و یا هر کاربر محلی و هر کاربر ناشناخته ، بررسی کنید :
|
1 2 3 4 |
%SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as user on line %SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: user] [Source: source_IP_address] at 03:42:13 UTC Wed Oct 11 2023 |
هر کاربری که به ویژگی WEB UI دسترسی داشته باشه، پیام %SYS-5-CONFIG_P رو داره. بنابراین در این پیامها باید بررسی کنید که آیا کاربر ناشناخته یا جدیدی وجود داره یا نه.
مورد زیر رو در لاگ های سیستم بررسی کنید که یه filename ناشناخته با یه عمل نصب همراه نباشه :
|
1 |
%WEBUI-6-INSTALL_OPERATION_INFO: User: username, Install Operation: ADD filename |
Cisco Talos دستور زیر رو هم توصیه کرده که برای شناسایی بدافزار ارائه کرده که باید از یه ایستگاه کاری با دسترسی به سیستم مورد نظر استفاده بشه. در دستور systemip برابر IP سیستم هستش :
|
1 |
curl -k -X POST "https://systemip/webui/logoutconfirm.html?logon_hash=1" |
اگه دستور بالا یه مقدار هگزادسیمال رو برگردونه، یعنی آلوده شدید.
اگه سیستمتون فقط روی HTTP تنظیم شده، در دستور بالا از HTTP به جای HTTPS استفاده کنید.
ID رولهای Snort هم به شرح زیر هستش :
|
1 2 3 4 |
3:50118:2 - can alert for initial implant injection 3:62527:1 - can alert for implant interaction 3:62528:1 - can alert for implant interaction 3:62529:1 - can alert for implant interaction |
اقدامات کاهشی :
سیسکو توصیه کرده که ویژگی HTTP Server رو در همه سیستم هایی که از طریق اینترنت در دسترس هستن ، غیر فعال کنید. برای غیر فعال کردن هم میتونید از یکی از ستورات زیر استفاده کنید (در global configuration mode) :
|
1 2 |
no ip http server no ip http secure-server |
اگه هم از HTTP server و هم از HTTPS Server استفاده میکنید باید هر دو دستور رو بزنید.
میتونید از این راهنما (درخت تصمیم) برای بررسی و تریاژ استفاده کنید :
- آیا از IOS XE استفاده میکنید :
- خیر، سیستم آسیب پذیر نیست و اقدامی نیاز نیست انجام بدید.
- بله، آیا ip http server یا ip http secure-server پیکربندی شدن یا نه ؟
- خیر، آسیب پذیری قابل اکسپلویت نیست و نیاز به اقدام خاصی ندارید.
- بله، آیا از سرویسی استفاده میکنید که نیاز به اتصال HTTP/HTTPS داشته باشه ، مثلا eWLC ؟
- خیر، ویژگی HTTP Server رو غیرفعال کنید.
- بله، در صورت امکان ، دسترسی به اون سرویس رو فقط به شبکه های قابل اعتماد محدود کنید.
فراموش نکنید که بعد از هر تغییری ، دستور copy running-configuration startup-configuration رو هم بزنید تا تنظیمات running-configuration ذخیره بشن تا بعد ریستارت مشکلی پیش نیاد.
علاوه بر این آسیب پذیری، سیسکو هشدارهایی برای آسیب پذیری CVE-2023-38545 که در cURL هستش و آسیب پذیری CVE-2023-44487 که یه روش جدید برای DDOS با عنوان حمله HTTP/2 Rapid Reset هستش هم صادر کرده.