漏洞公告
近日,安恒信息CERT监测到思科IOS XE软件Web UI权限提升漏洞(CVE-2023-20198),目前技术细节及PoC尚未公开,但已监测到在野利用 。当Cisco IOS XE 软件的web UI暴露于互联网或不受信任的网络时,未经身份验证的远程攻击者可以利用该漏洞在受影响的系统上创建具有15级访问权限的帐户。攻击者可以利用该帐户,通过另外一个提权漏洞(CVE-2023-20273)来控制受影响的系统。
安恒信息研究院卫兵实验室已复现此漏洞。
思科IOS XE软件Web UI权限提升漏洞(CVE-2023-20198) 复现截图
漏洞信息
Cisco IOS XE Software是美国思科(Cisco)公司的一个用于企业有线和无线访问,汇聚,核心和WAN的操作系统。
Web UI 是一种基于 GUI 的嵌入式系统管理工具,能够提供系统配置、简化系统部署和可管理性以及增强用户体验。它带有默认映像,因此无需在系统上启用任何内容或安装任何许可证。Web UI 可用于构建配置以及监控系统和排除系统故障,而无需 CLI 专业知识。
| 漏洞标题 | 思科IOS XE软件Web UI权限提升漏洞 | ||
| 应急响应等级 | 1级 | ||
| 漏洞类型 | 权限提升 | ||
| 影响目标 | 影响厂商 | Cisco | |
| 影响产品 | IOS XE | ||
| 影响版本 |
|
||
| 安全版本 | 17.9.4a
|
||
| 漏洞编号 | CVE编号 | CVE-2023-20198 | |
| CNVD编号 | 未分配 | ||
| CNNVD编号 | 未分配 | ||
| 安恒CERT编号 | DM-202307-002691 | ||
| 漏洞标签 | 安全产品、操作系统 | ||
| CVSS3.1评分 | 10 | 危害等级 | 严重 |
| CVSS向量 | 访问途径(AV) | 网络 | |
| 攻击复杂度(AC) | 低 | ||
| 所需权限(PR) | 无需任何权限 | ||
| 用户交互(UI) | 不需要用户交互 | ||
| 影响范围(S) | 改变 | ||
| 机密性影响(C) | 高 | ||
| 完整性影响(I) | 高 | ||
| 可用性影响(A) | 高 | ||
| 威胁状态 | Poc情况 | 未发现 | |
| Exp情况 | 未发现 | ||
| 在野利用 | 已发现 | ||
| 研究情况 | 已复现 | ||
| 舆情热度 | 公众号 | 高 | |
| 高 | |||
| 微博 | 高 |
||
修复方案
漏洞检测:
登录系统并在 CLI 中使用“show running-config | include ip http server|secure|active”命令检查全局配置中是否存在"ip http server"或"ip http secure-server"命令。如果存在任一命令,则系统将启用 HTTP 服务器功能,代表该系统受影响。
如果存在ip http server命令并且配置还包含ip http active-session-modules none,则无法通过 HTTP 利用该漏洞。
如果存在ip http secure-server命令并且配置还包含ip http secure-active-session-modules none,则无法通过 HTTPS 利用该漏洞。
官方修复方案:
若在受影响区间,则升级至安全版本
下载地址:
临时缓解措施:
如果启用HTTP Server或者HTTPS Server可以使用以下命令进行关闭:no ip http server/no ip http secure-server
SNORT以下规则可检测该漏洞
3:50118 - alerts for initial implant injection (CVE-2023-20273)
3:62527 - alerts for implant interaction
3:62528 - alerts for implant interaction
3:62529 - alerts for implant interaction
3:62541 - alerts on attempted exploitation for initial access (CVE-2023-20198)
3:62542 - alerts on attempted exploitation for initial access (CVE-2023-20198)
网络空间资产测绘
根据安恒Sumap全球网络空间资产测绘近三个月数据显示,受影响资产主要分布在美国,国内资产4,826。
产品能力覆盖
目前安恒信息已有5款产品覆盖该漏洞防护。
|
产品名称 |
覆盖补丁包 |
|
AiLPHA大数据平台 |
AiNTA-v1.2.5_release_ruletag_1.1.1264 |
|
AXDR平台的流量探针 |
AiNTA-v1.2.5_release_ruletag_1.1.1264 |
|
APT攻击预警平台 |
GoldenEyeIPv6_XXXXX_strategy2.0.XXXXX.231031.1 |
|
WAF |
已支持 |
|
玄武盾 |
已支持 |
参考资料
-
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z -
https://arstechnica.com/security/2023/10/actively-exploited-cisco-0-day-with-maximum-10-severity-gives-full-network-control/ -
https://www.darkreading.com/vulnerabilities-threats/critical-unpatched-cisco-zero-day-bug-active-exploit -
https://www.cisa.gov/guidance-addressing-cisco-ios-xe-web-ui-vulnerabilities
技术支持
如有漏洞相关需求支持请联系400-6777-677获取相关能力支撑
安恒信息CERT
2023年10月
原文始发于微信公众号(安恒信息CERT):【已复现】思科IOS XE软件Web UI权限提升漏洞(CVE-2023-20198)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论