Несмотря на то, что для обеспечения должного уровня безопасности рекомендуется открывать доступ к web-интерфейсу только для избранных хостов или локальной сети, многие администраторы оставляют возможность подключения и из глобальной сети. В частности, по данным сервиса Shodan в настоящее время в глобальной сети зафиксировано более 140 тысяч потенциально уязвимых устройств. Организация CERT уже зафиксировала около 35 тысяч успешно атакованных устройств Cisco, на которых установлен вредоносный имплант.
До публикации исправления с устранением уязвимости в качестве обходного пути для блокирования проблемы рекомендуется отключить HTTP- и HTTPS-сервер на устройстве, используя в консоли команды «no ip http server» и «no ip http secure-server», или ограничить доступ к web-интерфейсу на межсетевом экране. Для проверки наличия вредоносного импланта рекомендуется выполнить запрос:
curl -X POST http://IP-устройства/webui/logoutconfirm.html?logon_hash=1
который в случае компрометации вернёт 18-символьный хэш. Также на устройстве можно проанализировать лог на предмет посторонних подключений и выполнения операций по установке дополнительных файлов.
%SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as user on line
%SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: user] [Source: source_IP_address] at 05:41:11 UTC Wed Oct 17 2023
%WEBUI-6-INSTALL_OPERATION_INFO: User: username, Install Operation: ADD filename
В случае компрометации для удаления импланта достаточно перезагрузить устройство. Созданные атакующим учётные записи сохраняются после перезапуска и их требуется удалить вручную.
Имплант размещается в файле /usr/binos/conf/nginx-conf/cisco_service.conf и включает 29 строк кода на языке Lua, обеспечивающих выполнение произвольных команд на уровне системы или командного интерфейса Cisco IOS XE в ответ на HTTP-запрос со специальным набором параметров.
Источник: http://www.opennet.ru/opennews/art.shtml?num=59948