Last updated at Mon, 23 Oct 2023 16:39:32 GMT
On Monday, October 16, Cisco’s Talos group published a blog 利用CVE-2023-20198的活跃威胁活动, 思科IOS XE软件的web UI组件中存在一个“以前未知的”零日漏洞. IOS XE is an operating system that runs on a wide range of Cisco networking devices,包括路由器、交换机、无线控制器、接入点等. 成功利用CVE-2023-20198允许远程, 未经身份验证的攻击者在受影响的设备上创建帐户,并使用该帐户获取完整的管理员权限, 有效地实现对系统的完全接管.
在披露时(2023年10月17日)没有CVE-2023-20198的补丁。. Cisco has released fixed versions for a range of solutions as of October 22. As Cisco Talos noted in their blog, the vulnerability has been exploited in the wild, 截至10月17日,公共互联网上似乎有大量运行IOS XE的设备. 对运行IOS XE的互联网暴露设备的估计各不相同, 但攻击面面积似乎相对较大; one estimate puts the exposed device population at 140K+.
On October 20, 思科更新了他们关于CVE-2023-20198的建议,以反映他们的团队观察到的攻击链实际上包括两个零日漏洞, not just the one:
“攻击者首先利用CVE-2023-20198获得初始访问权限,并发出特权15命令来创建本地用户和密码组合. 这允许用户以正常的用户访问权限登录.
攻击者随后利用了web UI特性的另一个组件, 利用新的本地用户将权限提升到root,并将植入写入文件系统. Cisco has assigned CVE-2023-20273 to this issue.
CVE-2023-20198的CVSS评分为10分.0.
CVE-2023-20273的CVSS评分为7分.2.
CSCwh87343正在跟踪这两个cve."
其他活动包括部署一个植入程序,允许攻击者在系统级或IOS级执行任意命令. 思科对他们观察到的恶意行为有详尽的描述 here.
Affected products
Cisco’s CVE-2023-20198和CVE-2023-20273的公共咨询 Cisco IOS XE软件在启用web UI特性(UI是通过 ip http server
or ip http secure-server
commands). 思科并没有提供一定运行IOS XE的ladbrokes立博中文版,但他们的 product page for IOS XE 列出了一些,包括Catalyst、ASR和NCS系列.
According to the advisory, 客户可以确定系统是否启用了HTTP Server特性, by logging into the system and using the Show running-config | include IP HTTP server|secure|active
命令,检查是否存在 ip http server
command or the ip http secure-server
command in the global configuration. The presence of either command or both 系统配置中的命令表示启用了web UI特性(因此系统容易受到攻击)。.
Cisco’s advisory also specifies that if the ip http server
命令,并且配置中还包含 ip http active-session-modules none
, the vulnerability is not exploitable over HTTP. If the ip http secure-server
命令,并且配置中还包含 ip http secure-active-session-modules none
, the vulnerability is not exploitable over HTTPS.
Mitigation guidance
As of October 22, Cisco has released fixed versions of IOS XE 修复CVE-2023-20198在其解决方案组合中的一系列平台(例如.g., SDWAN, various routers and switches). 在应用补丁之前,组织应该在紧急情况下禁用面向internet的系统上的web UI (HTTP Server)组件. Organizations should also reboot their devices.
To disable the HTTP Server feature, use the no ip http server
or no ip http secure-server
command in global configuration mode. Per Cisco’s advisory,如果HTTP服务器和HTTPS服务器都在使用, both commands are required to disable the HTTP Server feature. 组织还应避免将web UI和管理服务暴露给internet或不受信任的网络.
禁用IOS XE系统的web UI组件和限制互联网暴露可以降低来自已知攻击媒介的风险, but notably does not 降低可能已经成功部署在易受攻击系统上的植入物的风险. Rapid7建议在可能的情况下调用事件响应程序,优先寻找思科共享的危害指标, listed below.
Cisco-observed attacker behavior
The Cisco Talos blog on CVE-2023-21098 has a full analysis of the implant 他们被部署在威胁行动中. 我们强烈建议完整地阅读这份分析报告. The implant is saved under the file path /usr/binos/conf/nginx-conf/cisco_service.conf
它包含两个由十六进制字符组成的可变字符串. 虽然植入物不是持久的(设备重启会将其移除), the attacker-created local user accounts are.
思科观察到该威胁行为者利用了CVE-2021-1435, which was patched in 2021, 在获得易受CVE-2023-20198攻击的设备的访问权限后安装植入物. Talos还指出,他们已经看到针对CVE-2021-1435打了完整补丁的设备通过一种尚未确定的机制成功安装了植入物.”
Rapid7-observed attacker behavior
到目前为止,Rapid7 MDR已经在客户环境中发现了少量利用CVE-2023-20198的实例, 包括同一天同一客户环境中的多个利用实例. 我们的团队根据现有证据确定的泄露指标表明,攻击者使用了与Cisco Talos描述的技术类似的技术.
Rapid7在我们的调查过程中发现了技术的变化. 攻击后在系统上执行的第一个恶意活动与 admin
account. The following is an excerpt from this log file:
%SYS-5-CONFIG_P:通过进程SEP_webui_wsma_http从控制台以管理员身份在vty1上编程配置
The threat actor created the local account cisco_support
using the command 用户名cisco_support privilege 15 algorithm-type sha256 secret *
under user context admin
. 然后,威胁参与者使用新创建的密码对系统进行身份验证 cisco_support
帐户并开始运行几个命令,包括以下命令:
show running-config
show voice register global
show dial-peer voice summary
show platform
show flow monitor
show platform
show platform software iox-service
show iox-service
dir bootflash:
dir flash:
clear logging
no username cisco_support
no username cisco_tac_admin
no username cisco_sys_manager
在完成这些命令后,威胁参与者删除了该帐户 cisco_support
. The accounts cisco_tac_admin
and cisco_sys_manager
were also deleted, 但Rapid7没有在可用日志中观察到与这些帐户相关的帐户创建命令.
The threat actor also executed the clear logging
命令清除系统记录并掩盖他们的踪迹. Rapid7在10月12日发现了第二次开采的测井记录, 2023, 但无法查看第一次入侵的日志,因为日志已被清除.
证据表明,威胁参与者执行的最后一个操作与一个名为 aaa
:
% web -6- install_operation_info:用户:cisco_support,安装操作:ADD aaa
对比10月12日在同一环境中发生的两次入侵, 在观察到的技术上有细微的差异. For example, 日志清理只在第一次利用中执行, 而第二次利用包括额外的目录查看命令.
Indicators of compromise
The Cisco Talos blog CVE-2023-20198指示组织在运行IOS XE的设备上寻找无法解释的或新创建的用户. 识别Talos观察到的植入物是否存在的一种方法是对设备运行以下命令, 其中“DEVICEIP”部分是要检查的设备的IP地址的占位符:
curl -k -X POST "http[:]//DEVICEIP/web /logoutconfirm . curl.html?logon_hash=1"
上面的命令将向设备的Web UI执行一个请求,以查看植入物是否存在. If the request returns a hexadecimal string, 植入程序已经存在(注意,在植入程序部署后,攻击者必须重新启动web服务器,才能使植入程序激活)。. Per Cisco’s blog, 如果设备只配置了不安全的web接口,则上述检查应该使用HTTP方案.
Additional Cisco IOCs
- 5.149.249[.]74
- 154.53.56[.]231
Usernames:
- cisco_tac_admin
- cisco_support
Cisco Talos还建议执行以下检查,以确定设备是否已被入侵:
检查系统日志,看是否有以下日志消息出现在“user”可能出现的地方 cisco_tac_admin
, cisco_support
或网络管理员不知道的任何已配置的本地用户:
-
%SYS-5-CONFIG_P:通过进程SEP_webui_wsma_http从控制台作为在线用户以编程方式配置
-
%SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: user] [Source: source_IP_address] at 03:42:13 UTC 2023年10月11日星期三
Note: The %SYS-5-CONFIG_P
消息将出现在用户访问web UI的每个实例中. 要查找的指示器是消息中出现的新用户名或未知用户名.
组织还应该检查系统日志中的以下消息,其中filename是一个未知的文件名,与预期的文件安装操作无关:
% web -6- install_operation_info: User: username, Install Operation: ADD filename
Rapid7 customers
As of October 17, InsightVM和expose客户可以通过身份验证漏洞检查来评估他们对CVE-2023-20198的暴露,该漏洞检查查找启用了web UI的Cisco IOS XE设备. 我们预计在10月24日发布此检查的更新,以反映固定版本的可用性.
通过Rapid7扩展的检测规则库,insighttidr和Rapid7 MDR客户拥有现有的检测覆盖范围. 部署了以下检测规则,并通过思科提供的IP地址对与此漏洞相关的活动发出警报:
- Network Flow - CURRENT_EVENTS Related IP Observed
- 可疑的连接-当前事件相关的IP观察
Updates
October 17, 2023: 更新了rapid7观察到的攻击者行为和ioc.
October 23, 2023: 更新以反映第二个零日漏洞CVE-2023-20273的披露. 还需要注意的是,思科已经在许多受影响的平台上发布了CVE-2023-20198的补丁. Rapid7预计将在10月24日发布CVE-2023-20198漏洞检查的更新,以检测IOS XE的补丁版本.