Cisco IOS XE Web UI 命令执行漏洞(CVE-2023-20273)安全风险通告

admin
admin
admin
138658
文章
114
评论
2023年10月21日18:39:42评论327 views字数 1891阅读6分18秒阅读模式

点击↑蓝字关注我们,获取更多安全风险通告

漏洞概述

漏洞名称

Cisco IOS XE Web UI 命令执行漏洞

漏洞编号

QVD-2023-30546、CVE-2023-20273

公开时间

2023-10-21

影响对象数量级

十万级

奇安信评级

高危

CVSS 3.1分数

7.4

威胁类型

命令执行

利用可能性

POC状态

未公开

在野利用状态

已发现

EXP状态

未公开

技术细节状态

未公开

危害描述:需要启用HTTP Server或者HTTPS Server。
01
漏洞详情
>>>>

影响组件

Web UI 是一种基于 GUI 的嵌入式系统管理工具,能够提供系统配置、简化系统部署和可管理性以及增强用户体验。它带有默认映像,因此无需在系统上启用任何内容或安装任何许可证。Web UI 可用于构建配置以及监控系统和排除系统故障,而无需 CLI 专业知识。

>>>>

漏洞描述

近日,奇安信CERT监测到Cisco IOS XE Web UI 权限提升漏洞(CVE-2023-20273)存在在野利用。当Cisco IOS XE 软件的web UI 暴露于互联网或不受信任的网络时,具有管理员权限的攻击者可以利用该漏洞在目标系统上执行任意命令。

鉴于该产品用量较多且存在在野利用,建议客户尽快做好自查及防护。

02
影响范围
>>>>

影响版本

暂无

>>>>

其他受影响组件

03
受影响资产情况

奇安信鹰图资产测绘平台数据显示,Cisco IOS XE Web UI 权限提升漏洞(CVE-2023-20273)关联的国内风险资产总数为3383个,关联IP总数为1995个。国内风险资产分布情况如下:

Cisco IOS XE Web UI 命令执行漏洞(CVE-2023-20273)安全风险通告

04
处置建议

目前官方暂未发布安全更新,受影响用户可以禁用 HTTP/HTTPS 服务器功能,如果业务需要可以将这些功能部署于受信任网络。

>>>>

检测方案

登录系统并在 CLI 中使用“show running-config | include ip http server|secure|active”命令检查全局配置中是否存在"ip http server"或"ip http secure-server"命令。如果存在任一命令,则系统将启用 HTTP 服务器功能,代表该系统受影响。

如果存在ip http server命令并且配置还包含ip http active-session-modules none,则无法通过 HTTP 利用该漏洞。

如果存在ip http secure-server命令并且配置还包含ip http secure-active-session-modules none,则无法通过 HTTPS 利用该漏洞。

>>>>

缓解措施

如果启用HTTP Server或者HTTPS Server可以使用以下命令进行关闭:

no ip http server/no ip http secure-server

>>>>

产品解决方案

1、检查系统日志中是否存在以下任何日志消息,其中“用户”可能是“cisco_tac_admin”、“cisco_support”、”cisco_sys_manager”或网络管理员未知的任何已配置本地用户:

%SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as user on line

%SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: user] [Source: source_IP_address] at 03:42:13 UTC Wed Oct 11 2023

2、检查系统日志中是否有以下消息,其中filename是与预期文件安装操作不相关的未知文件名:

%WEBUI-6-INSTALL_OPERATION_INFO: User: username, Install Operation: ADD filename

IOCs:

5.149.249[.]74

154.53.56[.]231

154.53.63[.]93

05
参考资料

[1]https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z

[2]https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/

06
时间线

2023年10月21日,奇安信 CERT发布安全风险通告。

原文始发于微信公众号(奇安信 CERT):Cisco IOS XE Web UI 命令执行漏洞(CVE-2023-20273)安全风险通告

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年10月21日18:39:42
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Cisco IOS XE Web UI 命令执行漏洞(CVE-2023-20273)安全风险通告https://cn-sec.com/archives/2133497.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息