CVE-2023-20198:思科IOS XE主动恶意利用零日漏洞

rapid7 mdr

Rapid7管理侦测与反应

rapid7mdr详情
关于脆弱和漏洞利用

脆弱、漏洞利用和威胁?

安全术语词典
关于博客:CVE-2023-20198:思科IOS XE积极恶意利用零日漏洞

最终更新日期:Thu, 19oct 2023 17:30:24 GMT

10月16日(月)、思科的Talosグループは、Cisco IOS XEソフトウェアのWeb UIコンポーネントに存在する「これまで知られていなかった」ゼロデイ脆弱CVE-2023-20198を悪用した活発な脅威キャンペーンに関する公开博客做了。。IOS XE包括路由器、开关、无线控制器、接入点等广泛的思科网络设备在上面运行的操作系统。。CVE-2023-20198 の悪用に成功すると、リモートの認証されていない攻撃者が、影響を受けるデバイス上にアカウントを作成し、そのアカウントを使用して完全な管理者権限を取得し、実質的にシステムの完全な乗っ取りを可能にします。

2023年10月17日,没有针对CVE-2023-20198的补丁(※)。正如思科Talos在他们的博客中指出的那样,它在野外被广泛利用。。在10月17日的时候,有很多设备在公共互联网上运行IOS XE。。虽然在互联网上运行IOS XE的设备数量各不相同,但攻击对象范围比较广。。

在思科观察到的活动中,攻击者从一个可疑的IP地址创建了一个(恶意的)本地用户账户。。此外,我们也在部署植入物,让攻击者在系统级或IOS级上执行任何命令。。思科表示,他们观察到的恶意行为在这里有广泛的解释。。

※译注:确认2023年10月23日现在已经开始提供针对该漏洞的部分更新。。

对象产品

思科的关于CVE-2023-20198的公开建议、Cisco IOS XEソフトウェアがWeb UI機能を有効にしている場合に脆弱があると述べているだです(UIはip http serverまたはip http secure-serverコマンドで有効になる)。思科没有提供能够确保IOS XE运行的十大赌博正规信誉网址IOS XE的产品页面上列出了一些产品,包括Catalyst、ASR和NCS家族。。

この勧告によると、システムにログインし、CLI で show running-config | include ip http server|secure|active コマンドを使用して、グローバル・コンフィギュレーションに ip http server コマンドまたは ip http secure-server コマンドが存在するかどうかを確認することで、HTTP サーバー機能がシステムで有効になっているかどうかを判断できます。在系统配置上哪边的指令,或者这两个指令如果存在,这表示网页UI功能是启用的(并且系统是脆弱的)。。

思科的建议是,如果存在ip http server命令,并且配置中还包括ip http active-session-modules none,在HTTP上这个漏洞不能被恶意利用。。ip http secure-server コマンドが存在し、コンフィグレーションに ip http secure-active-session-modules none も含まれている場合、この脆弱は 在HTTPS上可以被恶意利用没有。

缓和方针

组织需要在紧急情况下禁用面向互联网的系统的Web UI (HTTP服务器)组件,而不是补丁。。为了禁用HTTP服务器功能,在全局配置模式下使用no ip HTTP server或no ip HTTP secure-server命令。思科的建议根据,在HTTP服务器和HTTPS服务器都被使用的情况下,要使HTTP服务器功能无效你需要两个指令。。组织也必须确保Web UI和管理服务不被发布在互联网和不可靠的网络上。。

IOS XE システムのウェブ UI コンポーネントを無効にし、インターネットへの露出を制限することで、既知の攻撃ベクトルによるリスクは軽減されますが、脆弱なシステムに既に導入されている可能性のあるインプラントによるリスクは軽減さ不可以。Rapid7建议,尽可能启动事件响应程序,优先调查思科共享的IOC。。

西斯科观察到的攻击者的行动

思科Talos关于CVE-2023-21098的博客被确认是该威胁运动的一部分对种植牙的全面分析刊登在上面。。我强烈建议你阅读这篇分析。。种植牙是:/usr/binos/conf/nginx-conf/cisco_service.它被保存在conf的文件路径下,包含两个由十六进制字符组成的变量字符串。。植入物不是永久的(重启设备后会被删除),但是攻击者创建的本地用户账户是永久的。。

思科确认,在CVE-2023-20198访问脆弱设备后,威胁者恶意利用2021年安装补丁的cve - 2121 -1435安装植入物。。。Talos还确认,已经完全补丁cve - 2121 -1435的设备“通过尚未确定的机制”成功安装了植入物。。

迅速观察攻击者的行动

到目前为止,rapid7mdr已经确认了CVE-2023-20198在客户环境中被滥用的少数案例,其中包括多个同一天在同一客户环境中被滥用的案例。。我们团队从现有证据中发现的侵权指标显示,他们使用了思科Talos所描述的类似技术。。

Rapid7在调查过程中发现了各种各样的技巧。漏洞利用后,系统上执行的第一个恶意活动与admin帐户有关。。以下是这个记录文件的摘录:
sys-5-config_p:作为vty1上的admin,从控制台通过过程sep_webui_wsma_http程序配置的威胁行为
在用户上下文admin下,使用命令username 思科_产 privilege 15 algorithm-type sha256 secret *
将本地账户思科_产
制作了。。然后,威胁行为者开始使用这个新创建的思科_产账户向系统进行认证,并执行一些命令,包括:

show running-config
show voice register global
show dial-peer voice summary
show platform
show flow monitor
show platform
show platform software iox-service
show iox-service
dir bootflash:
dir flash:
clear logging
no username 思科_产
no username 思科tac译文:admin
no username思科_sys_manager

这些命令完成后,威胁者删除了他的账户思科_产。。思科tac译文:admin と cisco_sys_manager のアカウントも削除されましたが、Rapid7 はこれらのアカウントに関連するアカウント作成コマンドを利用可能なログで確認してい没有。。

威胁者还清除了系统的日志,并执行了清除指令以消除痕迹。Rapid7在2023年10月12日确认了第二次入侵的日志,但是因为日志被清除了,所以无法确认第一次入侵的日志。

证据是,威胁行为者实施的最后的行动涉及名为aaa的文件:
% webui -6- install_operation_info: User: 思科_产, Install OPERATION: ADD aaa

比较10月12日发生在相同环境的两起入侵,我们观察到的技术有一些差异。。例如,删除日志只在第一次入侵中执行,但第二次入侵包含了额外的目录浏览命令。。

妥协的指标

思科Talos的 CVE-2023-20198在博客上,在运行IOS XE的设备上寻找不可描述的或新创建的用户。。确定Talos观测到的植入是否存在的一种方法是对设备执行以下命令:

curl - k - x post " http: [] / / d e v iceip / webui / logoutconfirm.html?logon _ hash = 1 "

当你执行上面的命令时,你的请求会被发送到设备的Web UI上,并检查是否存在植入物。。リクエストが 16 進数の文字列を返した場合、インプラントが存在します(インプラントがアクティブになるには、インプラントが展開された後に攻撃者によってウェブサーバが再起動される必要があることに注意して请。)。根据思科的博客,如果你的设备只设置为不安全的网络接口,那么你必须使用HTTP方案来进行上述检查。。

其他思科国际奥委会

  • 5.149.249[.]74
  • 154.53.56[.]231

用户名

  • 思科tac译文:admin
  • 思科_产

另外,思科Talos建议执行以下检查以确定设备是否可能被侵犯:

请确认系统日志中是否有以下的日志消息。。“user”可以指定思科_tac_admin、思科_support或网络管理员不知道的本地配置用户:

  • %SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as user on line
  • %SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: user] [Source: source_IP_address] at 03:42:13 UTC Wed Oct 11 2023

注:% sys -5- config_p消息会在用户访问Web UI的每个实例中显示。确认消息中是否包含新的用户名或未知的用户名。。

组织还需要确认系统日志中是否有以下消息,其中filename是未知的文件名,并且与预期的文件安装行为不相关:

  • % webui -6- install_operation_info: User: username, Install OPERATION: ADD filename

Rapid7的客户

insightvm および Nexpose の顧客は、Web UI が有効になっている Cisco IOS XE デバイスを検索する認証済み脆弱チェックにより、CVE-2023-20198 への露出を評価できます。这个检查可以在今天(10月17日)的内容发布中使用。

insightidr和rapid7 mdr的客户通过Rapid7广泛的检测规则库拥有现有的检测覆盖范围。它采用了以下检测规则,通过思科提供的IP地址对与该漏洞相关的活动发出警报:

  • 网络Flow - current_events Related IP Observed
  • Suspicious Connection - current_events Related IP Observed

更新信息

2023年10月17日更新了Rapid7观察到的攻击者的行为和国际奥委会。。

※本博客是英语版博客"Active Exploitation of Cisco IOS XE Zero-Day Vulnerability"的机器翻译版。。关于最新信息,请参照原文。。