Уязвимость в Cisco IOS XE, применяемая для установки бэкдора

В реализации web-интерфейса, используемого на физических и виртуальных устройствах Cisco, оснащённых операционной системой Cisco IOS XE, выявлена критическая уязвимость (CVE-2023-20198), позволяющая без прохождения аутентификации получить полный доступ к системе с максимальным уровнем привилегий, при наличии доступа к сетевому порту, через который функционирует web-интерфейс. Опасность проблемы усугубляет то, что злоумышленники уже в течение месяца используют неисправленную уязвимость для создания дополнительных учётных записей «cisco_tac_admin» и «cisco_support» с правами администратора, и для автоматизированного размещения на устройствах импланта, предоставляющего удалённый доступ для выполнения команд на устройстве.

Несмотря на то, что для обеспечения должного уровня безопасности рекомендуется открывать доступ к web-интерфейсу только для избранных хостов или локальной сети, многие администраторы оставляют возможность подключения и из глобальной сети. В частности, по данным сервиса Shodan в настоящее время в глобальной сети зафиксировано более 140 тысяч потенциально уязвимых устройств. Организация CERT уже зафиксировала около 35 тысяч успешно атакованных устройств Cisco, на которых установлен вредоносный имплант.

До публикации исправления с устранением уязвимости в качестве обходного пути для блокирования проблемы рекомендуется отключить HTTP- и HTTPS-сервер на устройстве, используя в консоли команды «no ip http server» и «no ip http secure-server», или ограничить доступ к web-интерфейсу на межсетевом экране. Для проверки наличия вредоносного импланта рекомендуется выполнить запрос:


   curl -X POST http://IP-устройства/webui/logoutconfirm.html?logon_hash=1

который в случае компрометации вернёт 18-символьный хэш. Также на устройстве можно проанализировать лог на предмет посторонних подключений и выполнения операций по установке дополнительных файлов.


    %SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as user on line

    %SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: user] [Source: source_IP_address] at 05:41:11 UTC Wed Oct 17 2023

    %WEBUI-6-INSTALL_OPERATION_INFO: User: username, Install Operation: ADD filename

В случае компрометации для удаления импланта достаточно перезагрузить устройство. Созданные атакующим учётные записи сохраняются после перезапуска и их требуется удалить вручную.
Имплант размещается в файле /usr/binos/conf/nginx-conf/cisco_service.conf и включает 29 строк кода на языке Lua, обеспечивающих выполнение произвольных команд на уровне системы или командного интерфейса Cisco IOS XE в ответ на HTTP-запрос со специальным набором параметров.

Источник: http://www.opennet.ru/opennews/art.shtml?num=59948