během posledních týdnů Cisco se zapletlo do vážného bezpečnostního problému při implementaci webového rozhraní používaného na fyzických a virtuálních zařízeních Cisco vybavených s operačním systémem Cisco IOS XE.
A od poloviny října Byla zveřejněna zpráva, že byla identifikována kritická zranitelnost (již katalogizováno pod (CVE-2023-20198), které umožňuje bez autentizace plný přístup do systému s maximální úrovní oprávnění, pokud máte přístup k síťovému portu, přes který webové rozhraní funguje.
Je to zmíněno nebezpečí problému se zvyšuje vzhledem k tomu, že Útočníci využívají neopravenou zranitelnost více než měsíc vytvořit další účty „cisco_tac_admin“ a „cisco_support“ s právy správce a automaticky umístit implantát na zařízení, která poskytují vzdálený přístup k provádění příkazů na zařízení.
Problém se zranitelností spočívá v tom, že generuje druhou zranitelnost (CVE-2023-20273), který byl použit při útoku k instalaci implantátu na zařízení se systémem Cisco IOS XE. a které Cisco oznámilo, že útočníci využili po zneužití první zranitelnosti CVE-2023-20198 a umožnili použití nového účtu s právy root, vytvořeného během jeho zneužití, k provádění libovolných příkazů na zařízení.
Je zmíněno, že zneužití zranitelnosti CVE-2023-20198 umožňuje útočníkovi získat přístup k zařízení úrovně 15, který pak můžete použít k vytvoření lokálního uživatele a přihlášení s běžným uživatelským přístupem. Navíc to umožnilo obejít ověření nahrazením znaků v požadavku reprezentací "%xx." Například pro přístup ke službě WMSA (Web Service Management Agent) můžete odeslat požadavek „POST /%2577ebui_wsma_HTTP“, který zavolá obslužnou rutinu „webui_wsma_http“ bez ověření přístupu.
Na rozdíl od zářijového případu zahrnovala tato říjnová aktivita několik následných akcí, včetně nasazení implantátu, kterému říkáme „BadCandy“, který se skládá z konfiguračního souboru („cisco_service.conf“). Konfigurační soubor definuje nový koncový bod webového serveru (cesta URI) používaný k interakci s implantátem. Tento koncový bod přijímá určité parametry, které jsou podrobněji popsány níže, které umožňují aktérovi provádět libovolné příkazy na úrovni systému nebo na úrovni IOS. Aby se implantát aktivoval, musí být webový server restartován; Alespoň v jednom pozorovaném případě nebyl server restartován, takže implantát nebyl nikdy aktivován, přestože byl nainstalován.
Implantát BadCandy je uložen v cestě k souboru „/usr/binos/conf/nginx-conf/cisco_service.conf“, která obsahuje dva proměnné řetězce tvořené hexadecimálními znaky. Implantát je neperzistentní, což znamená, že restart zařízení jej odstraní, ale nově vytvořené místní uživatelské účty zůstávají aktivní i po restartu systému. Nové uživatelské účty mají oprávnění úrovně 15, což znamená, že mají úplný administrátorský přístup k zařízení. Tento privilegovaný přístup k zařízením a následné vytváření nových uživatelů je registrováno jako CVE-2023-20198.
O případu Společnost Cisco zveřejnila aktualizované informace jak na provedeném výzkumu, tak na technických analýzách prezentovaných zranitelností a také na exploitu prototypu, který připravil nezávislý výzkumník na základě analýzy návštěvnosti útočníků.
Přestože je pro zajištění odpovídající úrovně zabezpečení doporučeno otevírat přístup k webovému rozhraní pouze vybraným počítačům nebo lokální síti, mnoho administrátorů ponechává možnost připojení z globální sítě. Konkrétně podle služby Shodan je aktuálně v celosvětové síti registrováno více než 140 tisíc potenciálně zranitelných zařízení. Organizace CERT již zaregistrovala kolem 35 tisíc úspěšně napadených zařízení Cisco.
Konečně pokud máte zájem o tom vědět více o poznámce si můžete prohlédnout původní publikaci v následující odkaz.