【漏洞预警】Cisco IOS XE Web UI权限提升漏洞威胁告

1. 通告信息

近日，安识科技A-Team团队监测到Cisco修复了Cisco IOS XE 软件 Web UI 功能中的2个漏洞，目前这些漏洞已发现被利用。

对此，安识科技建议广大用户及时升级到安全版本，并做好资产自查以及预防工作，以免遭受黑客攻击。

2. 漏洞概述

简述：Cisco IOS（Internetwork Operating System，简称IOS）是思科公司（Cisco System）为其网络设备开发的操作维护系统。IOS XE是思科IOS操作系统的一种，Cisco IOS XE Web UI 是一种基于 GUI 的嵌入式系统管理工具，能够提供系统配置、简化系统部署和可管理性，并增强用户体验。

漏洞名称：Cisco IOS XE Web UI权限提升漏洞

CVE编号：CVE-2023-20198

Cisco IOS XE软件的 Web UI 功能中存在漏洞，当暴露于互联网或不受信任的网络时，未经身份验证的远程威胁者可利用该漏洞创建具有15级访问权限的帐户，并使用该帐户来控制受影响的系统。该漏洞的CVSSv3评分为10.0，影响启用了 Web UI 功能的Cisco IOS XE 软件。

漏洞名称：Cisco IOS XE Web UI命令注入漏洞

CVE编号：CVE-2023-20273

Cisco IOS XE软件的 Web UI 功能中存在漏洞，当暴露于互联网或不受信任的网络时，使用本地账户的威胁者可利用该漏洞在受影响设备中注入具有提升（即 root）权限的命令，该漏洞的CVSSv3评分为7.2。

3. 漏洞危害

CVE-2023-20198：未经身份验证的远程威胁者可利用该漏洞创建具有15级访问权限的帐户，并使用该帐户来控制受影响的系统。

CVE-2023-20273：使用本地账户的威胁者可利用该漏洞在受影响设备中注入具有提升（即 root）权限的命令。

4. 影响版本

受影响的Cisco IOS XE软件版本（启用了 Web UI 功能）：

17.9

17.6

17.3

16.12（仅限 Catalyst 3650 和 3850）

5. 解决方案

目前这些漏洞已经修复，受影响用户可升级到以下Cisco IOS XE软件固定版本：

17.9：升级到17.9.4a（可用）

17.6：升级到17.6.6a

17.3：升级到17.3.8a

16.12（仅限 Catalyst 3650 和 3850）：升级到16.12.10a

下载链接：

https://www.cisco.com/c/en/us/support/index.html

临时措施：

检测

可通过检测Cisco IOS XE 软件是否启用了 Web UI 功能来判断设备是否易受攻击，Web UI 功能通过ip http server或ip http secure-server命令启用。检测系统是否启用了 HTTP Server 功能如下：

登录系统并在 CLI 中使用 show running-config | include ip http server|secure|active命令检查全局配置中是否存在 ip http server 命令或 ip http secure-server 命令。如果存在这两条命令中的任何一条（或同时存在），则表示系统已启用 HTTP Server 功能（Web UI 功能已启用），示例如下：

Router# show running-config | include ip http server|secure|active

ip http server

ip http secure-server

如果存在ip http server命令并且配置还包含ip http active-session-modules none，则无法通过 HTTP 利用这些漏洞。

如果存在ip http secure-server命令并且配置还包含ip http secure-active-session-modules none，则无法通过 HTTPS 利用这些漏洞。

漏洞利用的相关检测指标详见参考链接。

缓解

1.在受影响的设备可以升级之前，可通过禁用受影响设备的HTTP Server功能来缓解攻击，管理员可在全局配置模式下使用no ip http server和/或no ip http secure-server命令禁用 HTTP Server功能（如果两者同时启用则需要使用两个命令禁用）。

2. 可使用访问控制列表将 HTTP Server 的访问限制为受信任的网络。

6. 时间轴

【-】2023年10月22日 安识科技A-Team团队监测到漏洞公布信息

【-】2023年10月23日 安识科技A-Team团队根据漏洞信息分析

【-】2023年10月24日 安识科技A-Team团队发布安全通告