最后更新于2023年10月23日星期一16:39:32 GMT

10月16日星期一,思科的Talos集团 发表博客 利用CVE-2023-20198的活跃威胁活动, 思科IOS XE软件的web UI组件中存在一个“以前未知的”零日漏洞. IOS XE是一个运行在 广泛的思科网络设备,包括路由器、交换机、无线控制器、接入点等. 成功利用CVE-2023-20198允许远程, 未经身份验证的攻击者在受影响的设备上创建帐户,并使用该帐户获取完整的管理员权限, 有效地实现对系统的完全接管.

在披露时(2023年10月17日)没有CVE-2023-20198的补丁。. 思科 已发布的固定版本 从10月22日起,我们将提供一系列解决方案. 正如Cisco Talos在他们的博客中指出的那样, 这个漏洞已经在野外被利用了, 截至10月17日,公共互联网上似乎有大量运行IOS XE的设备. 对运行IOS XE的互联网暴露设备的估计各不相同, 但攻击面面积似乎相对较大; 一个估计 暴露的设备数量超过140K.

10月20日, 思科更新了他们关于CVE-2023-20198的建议,以反映他们的团队观察到的攻击链实际上包括两个零日漏洞, 不只是一个:

“攻击者首先利用CVE-2023-20198获得初始访问权限,并发出特权15命令来创建本地用户和密码组合. 这允许用户以正常的用户访问权限登录.

攻击者随后利用了web UI特性的另一个组件, 利用新的本地用户将权限提升到root,并将植入写入文件系统. 思科已针对此问题分配了CVE-2023-20273.

CVE-2023-20198的CVSS评分为10分.0.
CVE-2023-20273的CVSS评分为7分.2.

CSCwh87343正在跟踪这两个cve."

其他活动包括部署一个植入程序,允许攻击者在系统级或IOS级执行任意命令. 思科对他们观察到的恶意行为有详尽的描述 在这里.

受影响的产品

思科的 CVE-2023-20198和CVE-2023-20273的公共咨询 Cisco IOS XE软件在启用web UI特性(UI是通过 IP HTTP服务器 or IP HTTP安全服务器 命令). 思科并没有提供一定运行IOS XE的产品列表,但他们的 IOS XE的产品页面 列出了一些,包括Catalyst、ASR和NCS系列.

根据建议, 客户可以确定系统是否启用了HTTP Server特性, 通过登录系统并使用 Show running-相依ig | include IP HTTP server|secure|active 命令,检查是否存在 IP HTTP服务器 命令或 IP HTTP安全服务器 命令. 的存在 要么 命令或 这两个 系统配置中的命令表示启用了web UI特性(因此系统容易受到攻击)。.

思科的报告还指出,如果 IP HTTP服务器 命令,并且配置中还包含 IP HTTP active-session-modules无,漏洞是 不能通过HTTP利用. 如果 IP HTTP安全服务器 命令,并且配置中还包含 IP HTTP secure-active-session-modules无,漏洞是 不能通过HTTPS利用.

缓解指导

截至10月22日,思科已经做到了 发布了IOS XE的固定版本 修复CVE-2023-20198在其解决方案组合中的一系列平台(例如.g.、SDWAN、各种路由器和交换机). 在应用补丁之前,组织应该在紧急情况下禁用面向internet的系统上的web UI (HTTP Server)组件. 组织也应该重新启动他们的设备.

要禁用HTTP Server特性,请使用 无IP HTTP服务器 or 无IP HTTP安全服务器 命令. 每 思科的咨询,如果HTTP服务器和HTTPS服务器都在使用, 这两个命令都是必需的 关闭HTTP Server特性. 组织还应避免将web UI和管理服务暴露给internet或不受信任的网络.

禁用IOS XE系统的web UI组件和限制互联网暴露可以降低来自已知攻击媒介的风险, 但值得注意的是 降低可能已经成功部署在易受攻击系统上的植入物的风险. Rapid7建议在可能的情况下调用事件响应程序,优先寻找思科共享的危害指标, 下面列出的.

思科观察到攻击者的行为

Cisco Talos博客上的CVE-2023-21098有一个 植入物的全面分析 他们被部署在威胁行动中. 我们强烈建议完整地阅读这份分析报告. 植入被保存在文件路径下 /usr/binos/相依/nginx-相依/cisco_service.相依 它包含两个由十六进制字符组成的可变字符串. 虽然植入物不是持久的(设备重启会将其移除), 攻击者创建的本地用户帐号为.

思科观察到该威胁行为者利用了CVE-2021-1435, 哪些是在2021年修补的, 在获得易受CVE-2023-20198攻击的设备的访问权限后安装植入物. Talos还指出,他们已经看到针对CVE-2021-1435打了完整补丁的设备通过一种尚未确定的机制成功安装了植入物.”

rapid7观察到攻击者的行为

到目前为止,Rapid7 耐多药已经在客户环境中发现了少量利用CVE-2023-20198的实例, 包括同一天同一客户环境中的多个利用实例. 我们的团队根据现有证据确定的泄露指标表明,攻击者使用了与Cisco Talos描述的技术类似的技术.

Rapid7在我们的调查过程中发现了技术的变化. 攻击后在系统上执行的第一个恶意活动与 管理 账户. 以下是该日志文件的摘录:
% SYS-5-CONFIG_P:通过进程SEP_webui_wsma_http从控制台以管理员身份在vty1上编程配置
威胁行为者创建了本地帐户 cisco_support 使用命令 用户名cisco_support privilege 15 algorithm-type sha256 secret * 在用户上下文中 管理. 然后,威胁参与者使用新创建的密码对系统进行身份验证 cisco_support 帐户并开始运行几个命令,包括以下命令:

显示running-相依ig
显示语音寄存器全局
显示拨号语音摘要
展示的平台
显示流量监视器
展示的平台
显示平台软件iox-service
显示iox-service
dir bootflash:
dir闪:
清晰的记录
没有用户名cisco_support
无用户名cisco_tac_管理
无用户名cisco_sys_manager

在完成这些命令后,威胁参与者删除了该帐户 cisco_support. 的账户 cisco_tac_管理cisco_sys_manager 也被删除了, 但Rapid7没有在可用日志中观察到与这些帐户相关的帐户创建命令.

威胁行为者还执行了 清晰的记录 命令清除系统记录并掩盖他们的踪迹. Rapid7在10月12日发现了第二次开采的测井记录, 2023, 但无法查看第一次入侵的日志,因为日志已被清除.

证据表明,威胁参与者执行的最后一个操作与一个名为 aaa:
% web -6- install_operation_info:用户:cisco_support,安装操作:ADD aaa

对比10月12日在同一环境中发生的两次入侵, 在观察到的技术上有细微的差异. 例如, 日志清理只在第一次利用中执行, 而第二次利用包括额外的目录查看命令.

妥协指标

Cisco Talos博客 CVE-2023-20198指示组织在运行IOS XE的设备上寻找无法解释的或新创建的用户. 识别Talos观察到的植入物是否存在的一种方法是对设备运行以下命令, 其中“DEVICEIP”部分是要检查的设备的IP地址的占位符:

curl -k -X POST "http[:]//DEVICEIP/web /logout相依irm . curl.html?logon_hash = 1”

上面的命令将向设备的Web UI执行一个请求,以查看植入物是否存在. 如果请求返回一个十六进制字符串, 植入程序已经存在(注意,在植入程序部署后,攻击者必须重新启动web服务器,才能使植入程序激活)。. 根据思科的博客, 如果设备只配置了不安全的web接口,则上述检查应该使用HTTP方案.

其他Cisco ioc

  • 5.149.249[.]74
  • 154.53.56[.]231

用户名:

  • cisco_tac_管理
  • cisco_support

Cisco Talos还建议执行以下检查,以确定设备是否已被入侵:

检查系统日志,看是否有以下日志消息出现在“user”可能出现的地方 cisco_tac_管理, cisco_support 或网络管理员不知道的任何已配置的本地用户:

  • % SYS-5-CONFIG_P:通过进程SEP_webui_wsma_http从控制台作为在线用户以编程方式配置

  • %SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login 成功 [user: user] [Source: source_IP_address] at 03:42:13 UTC 2023年10月11日星期三

注意: % SYS-5-CONFIG_P 消息将出现在用户访问web UI的每个实例中. 要查找的指示器是消息中出现的新用户名或未知用户名.

组织还应该检查系统日志中的以下消息,其中filename是一个未知的文件名,与预期的文件安装操作无关:

  • % web -6- install_operation_info: User: username, Install Operation: ADD filename

Rapid7客户

截至10月17日, InsightVM和expose客户可以通过身份验证漏洞检查来评估他们对CVE-2023-20198的暴露,该漏洞检查查找启用了web UI的Cisco IOS XE设备. 我们预计在10月24日发布此检查的更新,以反映固定版本的可用性.

通过Rapid7扩展的检测规则库,insighttidr和Rapid7 耐多药客户拥有现有的检测覆盖范围. 部署了以下检测规则,并通过思科提供的IP地址对与此漏洞相关的活动发出警报:

  • 网络流-当前事件相关的IP观察
  • 可疑的连接-当前事件相关的IP观察

更新

2023年10月17日: 更新了rapid7观察到的攻击者行为和ioc.

2023年10月23日: 更新以反映第二个零日漏洞CVE-2023-20273的披露. 还需要注意的是,思科已经在许多受影响的平台上发布了CVE-2023-20198的补丁. Rapid7预计将在10月24日发布CVE-2023-20198漏洞检查的更新,以检测IOS XE的补丁版本.