Cisco IOS XE Web UI权限提升漏洞(CVE-2023-20198)通告

一、漏洞概述

近日,绿盟科技CERT监测到Cisco官网发布了Cisco IOS XE Web UI权限提升漏洞(CVE-2023-20198)。当Web UI暴露在互联网或不受信任的网络时,未经身份验证的远程攻击者可利用次漏洞在受影响的目标系统上创建具有级别15权限的账户,进而使用该账号来控制目标系统。CVSS评分10.0,该漏洞存在在野利用。请相关用户尽快采取措施进行防护。
Web UI是一种基于GUI的嵌入式系统管理工具,能够提供系统配置、简化系统部署和可管理性以及增强用户体验。Cisco IOS XE默认具备WEB UI功能,因此无需在系统上启用任何内容或安装任何许可证。Web UI可用于构建配置以及监控系统和排除系统故障,而无需CLI专业知识。
参考链接:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z

二、影响范围

受影响版本
启用了Web UI功能的Cisco IOS XE软件

三、漏洞检测

3.1 人工检测
确认系统是否启用了HTTP服务器,如启用了该功能则说明系统受影响。
登录到系统,并在CLI中使用“show running-config | include ip http server|secure|active”命令,检查全局配置中是否存在“ip http server”或是“ip http secure-server”,如存在其中任一命令,则说明系统启用了HTTP服务。
如果存在“ip http server”命令同时配置了“ip http active-session-modules none”,则无法通过HTTP利用该漏洞。
如果存在“ip http secure-server”命令同时还配置了“ip http secure-active-session-modules none”,则无法通过HTTPS利用该漏洞。
3.2 威胁检测
可通过以下指标查看系统是否遭到入侵。
通过以下命令检查是否存在入侵,其中systemip是要检查的系统的IP地址,若请求返回十六进制字符串,则存在入侵。

curl -k -X POST “https://systemip/webui/logoutconfirm.html?logon_hash=1”

用户访问Web UI的每个实例都会显示“%SYS-5-CONFIG_P”消息,可通过检查系统日志中是否存在新用户名或未知用户名,其中用户可能是cisco_tac_admin、cisco_support或网络管理员未知的任一已配置本地用户。

%SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as user on line%SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: user] [Source: source_IP_address] at 03:42:13 UTC Wed Oct 11 2023

检查系统日志中是否有以下消息,其文件名是与预期文件安装操作无关的未知文件名:

%WEBUI-6-INSTALL_OPERATION_INFO: User: username, Install Operation: ADD filename

四、漏洞防护

4.1 官方升级
Cisco官方还未发布升级包,建议受影响用户及时关注官网更新。
4.2 临时缓解措施
使用“no ip http server”/“no ip http secure-server”命令禁用系统的HTTP/HTTPS服务。
声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

Spread the word. Share this post!

Meet The Author