1. 通告信息
近日,安识科技A-Team团队监测到Cisco修复了Cisco IOS XE 软件 Web UI 功能中的2个漏洞,目前这些漏洞已发现被利用。
对此,安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防工作,以免遭受黑客攻击。
2. 漏洞概述
简述:Cisco IOS(Internetwork Operating System,简称IOS)是思科公司(Cisco System)为其网络设备开发的操作维护系统。IOS XE是思科IOS操作系统的一种,Cisco IOS XE Web UI 是一种基于 GUI 的嵌入式系统管理工具,能够提供系统配置、简化系统部署和可管理性,并增强用户体验。
漏洞名称:Cisco IOS XE Web UI权限提升漏洞
CVE编号:CVE-2023-20198
Cisco IOS XE软件的 Web UI 功能中存在漏洞,当暴露于互联网或不受信任的网络时,未经身份验证的远程威胁者可利用该漏洞创建具有15级访问权限的帐户,并使用该帐户来控制受影响的系统。该漏洞的CVSSv3评分为10.0,影响启用了 Web UI 功能的Cisco IOS XE 软件。
漏洞名称:Cisco IOS XE Web UI命令注入漏洞
CVE编号:CVE-2023-20273
Cisco IOS XE软件的 Web UI 功能中存在漏洞,当暴露于互联网或不受信任的网络时,使用本地账户的威胁者可利用该漏洞在受影响设备中注入具有提升(即 root)权限的命令,该漏洞的CVSSv3评分为7.2。
3. 漏洞危害
CVE-2023-20198:未经身份验证的远程威胁者可利用该漏洞创建具有15级访问权限的帐户,并使用该帐户来控制受影响的系统。
CVE-2023-20273:使用本地账户的威胁者可利用该漏洞在受影响设备中注入具有提升(即 root)权限的命令。
4. 影响版本
受影响的Cisco IOS XE软件版本(启用了 Web UI 功能):
17.9
17.6
17.3
16.12(仅限 Catalyst 3650 和 3850)
5. 解决方案
目前这些漏洞已经修复,受影响用户可升级到以下Cisco IOS XE软件固定版本:
17.9:升级到17.9.4a(可用)
17.6:升级到17.6.6a
17.3:升级到17.3.8a
16.12(仅限 Catalyst 3650 和 3850):升级到16.12.10a
下载链接:
https://www.cisco.com/c/en/us/support/index.html
临时措施:
检测
可通过检测Cisco IOS XE 软件是否启用了 Web UI 功能来判断设备是否易受攻击,Web UI 功能通过ip http server或ip http secure-server命令启用。检测系统是否启用了 HTTP Server 功能如下:
登录系统并在 CLI 中使用 show running-config | include ip http server|secure|active命令检查全局配置中是否存在 ip http server 命令或 ip http secure-server 命令。如果存在这两条命令中的任何一条(或同时存在),则表示系统已启用 HTTP Server 功能(Web UI 功能已启用),示例如下:
Router# show running-config | include ip http server|secure|active
ip http server
ip http secure-server
如果存在ip http server命令并且配置还包含ip http active-session-modules none,则无法通过 HTTP 利用这些漏洞。
如果存在ip http secure-server命令并且配置还包含ip http secure-active-session-modules none,则无法通过 HTTPS 利用这些漏洞。
漏洞利用的相关检测指标详见参考链接。
缓解
1.在受影响的设备可以升级之前,可通过禁用受影响设备的HTTP Server功能来缓解攻击,管理员可在全局配置模式下使用no ip http server和/或no ip http secure-server命令禁用 HTTP Server功能(如果两者同时启用则需要使用两个命令禁用)。
2. 可使用访问控制列表将 HTTP Server 的访问限制为受信任的网络。
6. 时间轴
【-】2023年10月22日 安识科技A-Team团队监测到漏洞公布信息
【-】2023年10月23日 安识科技A-Team团队根据漏洞信息分析
【-】2023年10月24日 安识科技A-Team团队发布安全通告
