Update #2: Kritische Sicherheitslücke in Cisco IOS XE - aktiv ausgenützt

18. Oktober 2023

Beschreibung

Update #1: 23. Oktober 2023

Cisco hat für einige der von der Schwachstelle betroffenen Geräte Aktualisierungen veröffentlicht, und weitere Updates angekündigt. Das Unternehmen aktualisiert die Liste an verfügbaren Patches auf einer dedizierten Seite laufend.

Wenn das Management-WebInterface eines Cisco XE Gerätes vor dem Einspielen des Updates offen im Netz erreichbar war, ist davon auszugehen, dass ein Angreifer dies ausgenutzt hat und zumindest neue Admin-Accounts angelegt hat. Damit ist die Installation von weiteren Hintertüren möglich, die - aus heutiger Sicht - nur mit einem Factory Reset / Neuinstallation von IOS XE umfassend entfernt werden können

Eine kritische Sicherheitslücke in Cisco IOS XE erlaubt es unauthentifizierten Angreifer:innen privilegierte Accounts anzulegen, was eine vollständige Kompromittierung verwundbarer Systeme ermöglicht. Betroffen sind sowohl physische als auch virtuelle Systeme, deren Webinterface über das Internet oder andere, nicht vertrauenswürdige Netzwerke erreichbar ist. Die Schwachstelle wird bereits von verschiedenen Bedrohungsakteuren breitflächig ausgenutzt.

CVE-Nummer(n): CVE-2023-20198, CVE-2023-20273

CVSS Base Score: 10.0

Auswirkungen

Durch die Erstellung privilegierter Accounts ist es Angreifer:innen möglich, die vollständige Kontrolle über ein verwundbares System zu erlangen.

Betroffene Systeme

Die Schwachstelle betrifft alle Versionen von Cisco IOS XE, wenn das "Web UI"-Feature aktiviert ist. Mit dem folgenden Kommando lässt sich evaluieren, ob das Feature aktiviert ist:

Router# show running-config | include ip http server|secure|active
ip http server
ip http secure-server

Wenn der Befehl eine der beiden Zeilen zurückliefert ist "Web UI" aktiviert, und das System verwundbar, es sei denn folgende Konfigurationsparameter sind ebenfalls gesetzt:

ip http active-session-modules none
ip http secure-active-session-modules none

Abhilfe

Update #1.1: 30. Oktober 2023

Aktuell stellt Cisco weder Sicherheitsaktualisierungen noch Workarounds zur Verfügung.

Cisco empfiehlt allen Kund:innen das verwundbare Feature auf allen öffentlich erreichbaren Systemen zu deaktivieren. Dies kann mittels des Absetzens folgender Befehle im Global Configuration Mode erreicht werden:

no ip http server
no ip http secure-server

Das Unternehmen hat ebenfalls einen Befehl zur Verfügung gestellt, mit welchem ein System auf die Präsenz eines von Angreifer:innen platzierten Implants geprüft werden kann; "systemip" ist hierbei die IP-Adresse es zu prüfenden Systems:

Update #2: 24. Oktober 2023

Cisco hat neue Kommandos zur Detektion bereitgestellt:

 curl -k -H "Authorization: 0ff4fbf0ecffa77ce8d3852a29263e263838e9bb" -X POST "https[:]//systemip/webui/logoutconfirm.html?logon_hash=1"

Sollte der Befehl einen hexadezimalen String zurückliefern, so ist ein Implant installiert. Darüber hinaus kann folgender Curl-Befehl ausgeführt werden, um Systeme mit bekannten Varianten des Implantats zu identifizieren, ohne mit der Kernfunktionalität des Implantats zu interagieren:

curl -k "https[:]//systemip/%25"

Sollte der Befehl eine 404-HTTP-Antwort mit einer HTML-Seite mit der Meldung „404 Not Found“ zurückgeben, liegt eine bekannte Variante des Implantats vor. Ein System ohne das Implantat sollte entweder nur die standardmäßige 404-HTTP-Antwort oder eine Weiterleitung (mittels JavaScript-Redirect) und 200-HTTP-Antwort zurückgeben.

Laut Cisco verfügt das Implant über keinen Persistenzmechanismus. Ein Neustart des infizierten Gerätes entfernt das Implant also, die durch Angreifer:innen erstellten, privilegierten Accounts bleiben jedoch weiterhin erhalten und müssen manuell bereinigt werden.

Weiters empfiehlt das Unternehmen, die eigenen Logfiles auf folgende Zeilen zu untersuchen, deren Präsenz auf eine erfolgte Kompromittierung hindeuten:

%SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as user on line
%SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: user] [Source: source_IP_address] at 03:42:13 UTC Wed Oct 11 2023
%WEBUI-6-INSTALL_OPERATION_INFO: User: username, Install Operation: ADD filename

An der Stelle von "user" kann hier "cisco_tac_admin", "cisco_support" oder ein beliebiger anderer, unbekannter, lokaler Account stehen; "filename" ist ein beliebiger, unbekannter Dateiname, der nicht mit einer erwarteten Installationsoperation in Verbindung zu bringen ist.

Die folgenden snort-Regeln stehen zur Verfügung, um eine Ausnutzung der Schwachstelle zu erkennen:

    • 3:50118:2 - can alert for initial implant injection
    • 3:62527:1 - can alert for implant interaction
    • 3:62528:1 - can alert for implant interaction
    • 3:62529:1 - can alert for implant interaction
Update #2: 24. Oktober 2023
  • 3:62541 - Covers exploit attempts for initial access (CVE-2023-20198)
  • 3:62542 - Covers exploit attempts for initial access (CVE-2023-20198)

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Änderungshistorie

18. Oktober 2023: Initiale Fassung

23. Oktober 2023; Update #1: Ergänzung der verfügbaren Updates

24. Oktober 2023; Update #2: Ergänzung neuer Detektions-Mechanismen, Snort-Rules und CVE-Nummer(n)

30. Oktober 2023; Update #1.1: Berücksichtigung von Update #1 unter "Abhilfe"


Informationsquelle(n):

Cisco Security Advisory
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z

Blogpost von Cisco Talos
https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/

Liste an verfügbaren Aktualisierungen
https://www.cisco.com/c/en/us/support/docs/ios-nx-os-software/ios-xe-dublin-17121/221128-software-fix-availability-for-cisco-ios.html