Cisco’nun ağ cihazları için geliştirdiği işletim sistemi Cisco IOS XE’in aktif olarak istismar edilen maksimum önem derecesine sahip “Cisco IOS XE Yazılımı Web Kullanıcı Arayüzü Ayrıcalık Yükseltme Güvenlik Açığı” yayınlandı.
CVE: CVE-2023-20198
CVSS Puanı: 10
Cisco’nun Talos birimi, CVE-2023-20198’i hedef alan saldırıların izlerini ilk olarak 28 Eylül’de belirlediklerini ve ilgili etkinliğin 18 Eylül’e kadar uzandığını açıkladı.
Güvenlik açığı, uzaktaki, kimliği doğrulanmamış bir saldırganın etkilenen sistemde “ayrıcalık düzeyi 15” (tüm komutlara tam erişim) erişimine sahip bir hesap oluşturmasına olanak tanır. Saldırgan daha sonra etkilenen sistemin kontrolünü ele geçirmek için bu hesabı kullanabilir.
Cisco IOS XE Yazılımının web kullanıcı arayüzü özelliği etkinse bu güvenlik açığından etkilenebilir.
Web kullanıcı arayüzü özelliği ip http sunucusu veya ip http secure-server komutları aracılığıyla etkinleştirilir .
ip http server komutu mevcutsa ve yapılandırma aynı zamanda ip http active-session-modules none içeriyorsa , güvenlik açığından HTTP üzerinden yararlanılamaz.
ip http secure-server komutu mevcutsa ve yapılandırma aynı zamanda ip http secure-active-session-modules none içeriyorsa , güvenlik açığından HTTPS üzerinden yararlanılamaz.
Cisco, müşterilerin internete bakan tüm sistemlerde HTTP Sunucusu özelliğini devre dışı bırakmasını tavsiye etmektedir.
HTTP Sunucusu özelliğini devre dışı bırakmak için genel yapılandırma modunda no ip http server veya no ip http secure-server komutunu kullanılır. Hem HTTP sunucusu hem de HTTPS sunucusu kullanılıyorsa, HTTP Sunucusu özelliğini devre dışı bırakmak için her iki komutun da kullanılması gerekir.
Bir sistemin güvenliğinin ihlal edilip edilmediğini belirlemek için aşağıdaki kontrolleri gerçekleştirebilirsiniz:
Kullanıcının cisco_tac_admin , cisco_support veya ağ yöneticisi tarafından bilinmeyen herhangi bir yapılandırılmış yerel kullanıcı olabileceği aşağıdaki günlük mesajlarından herhangi birinin bulunup bulunmadığını sistem günlüklerinde kontrol edin :
%SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as user on line
%SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: user] [Source: source_IP_address] at 03:42:13 UTC Wed Oct 11 2023
Not : Bir kullanıcının web kullanıcı ara yüzüne eriştiği her örnek için %SYS-5-CONFIG_P mesajı mevcut olacaktır. Aranacak gösterge, mesajda bulunan yeni veya bilinmeyen kullanıcı adlarıdır.
Dosya adının , beklenen dosya yükleme eylemiyle ilişkili olmayan bilinmeyen bir dosya adı olduğu aşağıdaki mesaj için sistem günlüklerini kontrol edin :
%WEBUI-6-INSTALL_OPERATION_INFO: User: username, Install Operation: ADD filename
Cisco Talos, implantın varlığını kontrol etmek için aşağıdaki komutu sağlamıştır; burada systemip , kontrol edilecek sistemin IP adresidir. Bu komut, söz konusu sisteme erişimi olan bir iş istasyonundan verilmelidir:
curl -k -X POST “https://systemip/webui/logoutconfirm.html?logon_hash=1″
İstek hexadecimal bir dize döndürürse implant mevcuttur.
Not : Sistem yalnızca HTTP erişimi için yapılandırılmışsa komut örneğindeki HTTP şemasını kullanın.
Kötüye kullanımı tespit etmek için aşağıdaki Snort kuralı kimlikleri de mevcuttur:
3:50118:2 – ilk implant enjeksiyonu için uyarı verebilir
3:62527:1 – implant etkileşimi konusunda uyarı verebilir
3:62528:1 – implant etkileşimi konusunda uyarı verebilir
3:62529:1 – implant etkileşimi konusunda uyarı verebilir
