Vulnerabilidad 0-day en productos de Cisco
Aunque todavía no se conocen exploits públicos o pruebas de concepto, esta vulnerabilidad está siendo activamente explotada.
Detalles técnicos
Cisco publicó un parche de seguridad para solucionar una vulnerabilidad que afecta a Cisco IOS XE Software, que permite a quien ataca y sin estar autenticado, crear una cuenta y elevar privilegios para tomar el control total de los sistemas afectados.
La vulnerabilidad, identificada como CVE-2023-20198, con CVSS:3.1=10 fue descubierta durante la resolución de múltiples casos de soporte de Cisco TAC (Technical Assistance Center).
Detección
Para determinar si un dispositivo tiene el protocolo HTTP Server activado para un sistema, inicie sesión en el sistema y utilice el comando en para CLI show running-config . include ip http server.secure-active para comprobar la presencia del comando ip http server o el comando ip http secure-server en la configuración global. Si hay alguno de los comandos, la función HTTP Server está habilitada para el sistema.
El siguiente ejemplo muestra la salida del show running-config . include ip http server.secure-active comando para un sistema que tiene activado la función HTTP Server:
Router# show running-config . include ip http server.secure.active ip http server ip http secure-server |
|---|
Si el comando ip http server está presente y la configuración también contiene ip http active-session-modules none, la vulnerabilidad no es explotable sobre HTTP.
Si el comando ip http secure-server está presente y la configuración también contiene ip http secure-active-session-modules none, la vulnerabilidad no es explotable sobre HTTPS.
Cisco ha publicado indicadores de compromiso (IOC) para determinar si un sistema fue comprometido.
Los registros del sistema con los siguientes mensajes donde la persona usuaria podría ser cisco-tac-admin, cisco-support o cualquier otra persona:
%SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as user on line %SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: user] [Source: source_IP_address] at 03:42:13 UTC Wed Oct 11 2023 |
|---|
El mensaje %SYS-5-CONFIG-P aparece en cada caso de que un usuario ha accedido a la interfaz de usuario web.
Otro indicador es el siguiente mensaje en el que filename es un nombre de archivo desconocido que no se correlaciona con una acción de instalación de archivo esperada:
| %WEBUI-6-INSTALL_OPERATION_INFO: User: username, Install Operation: ADD filename |
|---|
Debido a la instalación de un implante que se guarda bajo la ruta del archivo /usr/binos/conf/nginx-conf/cisco_service.conf que contiene dos cadenas variables compuestas por caracteres hexadecimales. Si bien el implante no es persistente (un reinicio del dispositivo lo eliminará), las cuentas de usuario locales creadas por quien ataca se mantienen activas. Un método para identificar la presencia de un implante, es ejecutar el siguiente comando contra el dispositivo, donde la porción "DEVICEIP" es un marcador de posición para la dirección IP del dispositivo para comprobar:
| curl -k -X POST "https[:]//DEVICEIP/webui/logoutconfirm.html?logon_hash=1" |
|---|
Si la solicitud devuelve una cadena hexadecimal, el implante está presente.
También están disponibles los siguientes ID de la regla Snort para detectar la explotación:
- 3:50118:2 - puede estar alerta para la inyección inicial de implante
- 3:62527:1 - puede alertar para la interacción con el implante
- 3:62528:1 - puede alertar para la interacción con el implante
- 3:62529:1 - puede alertar para la interacción con el implante
Y las siguientes IP como indicadores de compromiso:
- 5.149.249[.]74
- 154.53.56[.]231
Mitigación
Instamos a los administradores a deshabilitar o restringir el acceso por HTTPS a las interfaz de usuario WebUI siguiendo las instrucciones de Cisco en el siguiente enlace.
Referencias
Advisor de Cisco