CVE-2023-20198:主动利用思科IOS XE零日漏洞

最后更新于2023年10月23日星期一16:39:32 GMT

10月16日星期一，思科的Talos集团 发表博客 利用CVE-2023-20198的活跃威胁活动, 思科IOS XE软件的web UI组件中存在一个“以前未知的”零日漏洞. IOS XE是一个运行在 广泛的思科网络设备，包括路由器、交换机、无线控制器、接入点等. 成功利用CVE-2023-20198允许远程, 未经身份验证的攻击者在受影响的设备上创建帐户，并使用该帐户获取完整的管理员权限, 有效地实现对系统的完全接管.

在披露时(2023年10月17日)没有CVE-2023-20198的补丁。. Cisco has 已发布的固定版本 从10月22日起，我们将提供一系列解决方案. 正如Cisco Talos在他们的博客中指出的那样, 这个漏洞已经在野外被利用了, 截至10月17日，公共互联网上似乎有大量运行IOS XE的设备. 对运行IOS XE的互联网暴露设备的估计各不相同, 但攻击面面积似乎相对较大; one estimate 暴露的设备数量超过140K.

On October 20, 思科更新了他们关于CVE-2023-20198的建议，以反映他们的团队观察到的攻击链实际上包括两个零日漏洞, 不只是一个:

“攻击者首先利用CVE-2023-20198获得初始访问权限，并发出特权15命令来创建本地用户和密码组合. 这允许用户以正常的用户访问权限登录.

攻击者随后利用了web UI特性的另一个组件, 利用新的本地用户将权限提升到root，并将植入写入文件系统. 思科已针对此问题分配了CVE-2023-20273.

CVE-2023-20198的CVSS评分为10分.0.
CVE-2023-20273的CVSS评分为7分.2.

CSCwh87343正在跟踪这两个cve."

其他活动包括部署一个植入程序，允许攻击者在系统级或IOS级执行任意命令. 思科对他们观察到的恶意行为有详尽的描述 here.

受影响的产品

Cisco’s CVE-2023-20198和CVE-2023-20273的公共咨询 Cisco IOS XE软件在启用web UI特性(UI是通过 ip http server or IP HTTP安全服务器 commands). 思科并没有提供一定运行IOS XE的产品列表，但他们的 IOS XE的产品页面 列出了一些，包括Catalyst、ASR和NCS系列.

根据建议, 客户可以确定系统是否启用了HTTP Server特性, 通过登录系统并使用 Show running-config | include IP HTTP server|secure|active 命令，检查是否存在 ip http server command or the IP HTTP安全服务器 命令. The presence of either command or both 系统配置中的命令表示启用了web UI特性(因此系统容易受到攻击)。.

思科的报告还指出，如果 ip http server 命令，并且配置中还包含 IP HTTP active-session-modules无，漏洞是 不能通过HTTP利用. If the IP HTTP安全服务器 命令，并且配置中还包含 IP HTTP secure-active-session-modules无，漏洞是 不能通过HTTPS利用.

缓解指导

截至10月22日，思科已经做到了 发布了IOS XE的固定版本 修复CVE-2023-20198在其解决方案组合中的一系列平台(例如.g.、SDWAN、各种路由器和交换机). 在应用补丁之前，组织应该在紧急情况下禁用面向internet的系统上的web UI (HTTP Server)组件. 组织也应该重新启动他们的设备.

要禁用HTTP Server特性，请使用 无IP HTTP服务器 or 无IP HTTP安全服务器 命令. Per 思科的咨询，如果HTTP服务器和HTTPS服务器都在使用， 这两个命令都是必需的 关闭HTTP Server特性. 组织还应避免将web UI和管理服务暴露给internet或不受信任的网络.

禁用IOS XE系统的web UI组件和限制互联网暴露可以降低来自已知攻击媒介的风险, but notably does not 降低可能已经成功部署在易受攻击系统上的植入物的风险. Rapid7建议在可能的情况下调用事件响应程序，优先寻找思科共享的危害指标, listed below.

思科观察到攻击者的行为

Cisco Talos博客上的CVE-2023-21098有一个 植入物的全面分析 他们被部署在威胁行动中. 我们强烈建议完整地阅读这份分析报告. 植入被保存在文件路径下 /usr/binos/conf/nginx-conf/cisco_service.conf 它包含两个由十六进制字符组成的可变字符串. 虽然植入物不是持久的(设备重启会将其移除), 攻击者创建的本地用户帐号为.

思科观察到该威胁行为者利用了CVE-2021-1435, 哪些是在2021年修补的, 在获得易受CVE-2023-20198攻击的设备的访问权限后安装植入物. Talos还指出，他们已经看到针对CVE-2021-1435打了完整补丁的设备通过一种尚未确定的机制成功安装了植入物.”

rapid7观察到攻击者的行为

到目前为止，Rapid7 MDR已经在客户环境中发现了少量利用CVE-2023-20198的实例, 包括同一天同一客户环境中的多个利用实例. 我们的团队根据现有证据确定的泄露指标表明，攻击者使用了与Cisco Talos描述的技术类似的技术.

Rapid7在我们的调查过程中发现了技术的变化. 攻击后在系统上执行的第一个恶意活动与 admin account. 以下是该日志文件的摘录:
%SYS-5-CONFIG_P:通过进程SEP_webui_wsma_http从控制台以管理员身份在vty1上编程配置
威胁行为者创建了本地帐户 cisco_support 使用命令 用户名cisco_support privilege 15 algorithm-type sha256 secret * 在用户上下文中 admin. 然后，威胁参与者使用新创建的密码对系统进行身份验证 cisco_support 帐户并开始运行几个命令，包括以下命令:

显示running-config
显示语音寄存器全局
显示拨号语音摘要
show platform
显示流量监视器
show platform
显示平台软件iox-service
显示iox-service
dir bootflash:
dir flash:
clear logging
没有用户名cisco_support
无用户名cisco_tac_admin
无用户名cisco_sys_manager

在完成这些命令后，威胁参与者删除了该帐户 cisco_support. The accounts cisco_tac_admin and cisco_sys_manager 也被删除了, 但Rapid7没有在可用日志中观察到与这些帐户相关的帐户创建命令.

威胁行为者还执行了 clear logging 命令清除系统记录并掩盖他们的踪迹. Rapid7在10月12日发现了第二次开采的测井记录, 2023, 但无法查看第一次入侵的日志，因为日志已被清除.

证据表明，威胁参与者执行的最后一个操作与一个名为 aaa:
% web -6- install_operation_info:用户:cisco_support，安装操作:ADD aaa

对比10月12日在同一环境中发生的两次入侵, 在观察到的技术上有细微的差异. For example, 日志清理只在第一次利用中执行, 而第二次利用包括额外的目录查看命令.

妥协指标

The Cisco Talos博客 CVE-2023-20198指示组织在运行IOS XE的设备上寻找无法解释的或新创建的用户. 识别Talos观察到的植入物是否存在的一种方法是对设备运行以下命令, 其中“DEVICEIP”部分是要检查的设备的IP地址的占位符:

curl -k -X POST "http[:]//DEVICEIP/web /logoutconfirm . curl.html?logon_hash=1"

上面的命令将向设备的Web UI执行一个请求，以查看植入物是否存在. 如果请求返回一个十六进制字符串, 植入程序已经存在(注意，在植入程序部署后，攻击者必须重新启动web服务器，才能使植入程序激活)。. Per Cisco’s blog, 如果设备只配置了不安全的web接口，则上述检查应该使用HTTP方案.

其他Cisco ioc

• 5.149.249[.]74
• 154.53.56[.]231

Usernames:

• cisco_tac_admin
• cisco_support

Cisco Talos还建议执行以下检查，以确定设备是否已被入侵:

检查系统日志，看是否有以下日志消息出现在“user”可能出现的地方 cisco_tac_admin, cisco_support 或网络管理员不知道的任何已配置的本地用户:

• %SYS-5-CONFIG_P:通过进程SEP_webui_wsma_http从控制台作为在线用户以编程方式配置

• %SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: user] [Source: source_IP_address] at 03:42:13 UTC 2023年10月11日星期三

Note: The %SYS-5-CONFIG_P 消息将出现在用户访问web UI的每个实例中. 要查找的指示器是消息中出现的新用户名或未知用户名.

组织还应该检查系统日志中的以下消息，其中filename是一个未知的文件名，与预期的文件安装操作无关:

• % web -6- install_operation_info: User: username, Install Operation: ADD filename

Rapid7 customers

截至10月17日, InsightVM和expose客户可以通过身份验证漏洞检查来评估他们对CVE-2023-20198的暴露，该漏洞检查查找启用了web UI的Cisco IOS XE设备. 我们预计在10月24日发布此检查的更新，以反映固定版本的可用性.

通过Rapid7扩展的检测规则库，insighttidr和Rapid7 MDR客户拥有现有的检测覆盖范围. 部署了以下检测规则，并通过思科提供的IP地址对与此漏洞相关的活动发出警报:

• 网络流-当前事件相关的IP观察
• 可疑的连接-当前事件相关的IP观察

Updates

2023年10月17日: 更新了rapid7观察到的攻击者行为和ioc.

2023年10月23日: 更新以反映第二个零日漏洞CVE-2023-20273的披露. 还需要注意的是，思科已经在许多受影响的平台上发布了CVE-2023-20198的补丁. Rapid7预计将在10月24日发布CVE-2023-20198漏洞检查的更新，以检测IOS XE的补丁版本.