攻击者利用新的Cisco Web UI漏洞

又一天,另一个严重漏洞袭击了思科!思科已意识到该漏洞正在被积极利用,但没有可用的解决方法。

思科已警告客户,Cisco IOS XE软件的Web UI功能中存在一个先前未知的漏洞,该漏洞正被攻击者积极利用。该漏洞允许未经身份验证的远程攻击者在受影响的系统上创建具有15级访问权限的帐户,这可能进一步使他们能够完全控制设备。

如果启用Web UI功能(默认情况下已启用),则该漏洞(CVE-2023-20198)会影响Cisco IOS XE软件。思科建议客户在所有面向互联网的系统上禁用HTTP服务器功能,以降低被利用的风险。

思科在其安全公告中表示,该公司已意识到该漏洞正在被积极利用,并且没有可用的解决方法。思科正在开发软件补丁来解决该漏洞,但发布日期尚未公布。

总部位于加利福尼亚州圣何塞的安全和运营分析SaaS公司Netenrich的首席威胁猎人John Bambenek对该建议发表了评论,并警告说:“目前还没有补丁的事实使得这个问题变得更加紧迫,管理员应该借此机会确保他们的Cisco IOS设备要么禁用Web UI,要么只能从仅限授权用户访问的专用管理LAN进行访问。”

位于加利福尼亚州福斯特城的颠覆性云IT、安全和合规解决方案提供商Qualys的威胁研究经理Mayuresh Dani强调,思科尚未提供受影响的设备列表,这意味着任何交换机、路由器或运行IOS XE且Web UI暴露于互联网的WLC很容易受到攻击。”

Dani披露了有关Web UI暴露于互联网的思科设备的统计数据。这些调查结果表明,超过40000台Cisco设备属于此类,其中大多数设备主动侦听端口80。

“应修改具有公开暴露于互联网或不可信网络的Web UI和管理服务的设备,以便它们不会通过ACL或其他解决方案暴露于不可信网络。2. 禁用这些设备上的Web UI组件,”Dani建议。

要确定系统是否已受到损害,客户可以检查系统日志是否存在以下日志消息:

1. %SYS-5-CONFIG_P:通过进程 SEP_webui_wsma_http 以在线用户身份从控制台以编程方式配置

2. %SEC_LOGIN-5-WEBLOGIN_SUCCESS:2023年10月11日星期三03:42:13 UTC登录成功客户还可以使用以下命令来检查植入程序是否存在:

curl -k -X POST "https://systemip/webui/logoutconfirm.html?logon_hash=1"

如果请求返回十六进制字符串,则表明存在植入程序。

思科强烈建议客户在所有面向互联网的系统上禁用HTTP服务器功能。要禁用HTTP服务器功能,请在全局配置模式下使用no ip http server或no ip http secure-server命令。

无法禁用HTTP服务器功能的客户应将对这些服务的访问限制为受信任的网络。

思科还在开发软件补丁来解决该漏洞,建议客户尽快应用该补丁。

发表评论

评论已关闭。

相关文章