Alert GCSA-23137 - Vulnerabilita' critica per apparati Cisco IOS-XE
Alert ID: GCSA-23137
Data: 18 Ottobre 2023
Titolo: Vulnerabilita' critica per apparati Cisco IOS-XE
******************************************************************
:: Descrizione del problema
E' stata rilevata una vulnerabilita' di tipo critico negli
apparati Cisco IOS-XE, che permette ad un attaccante
non autenticato sul sistema la creazione di un account di tipo admin
dall'interfaccia Web UI, ed ottenere il completo controllo dell'apparato
La vulnerabilita', con score CVSS v3 10, e' la CVE-2023-20198, ed e'
al momento sfruttata pesantemente in rete
Si consiglia di applicare le soluzioni di mitigazione sotto riportate
:: Software interessato
Cisco IOS XE Software con l'interfaccia Web UI abilitata
:: Impatto
Privilege escalation
Controllo completo del sistema
:: Soluzioni
Al momento Cisco non ha ancora rilasciato una patch di sicurezza,
nel frattempo si raccomanda di mitigare il problema
*** Disabilitare prima possibile la funzionalita' HTTP Server nei sistemi esposti
Comandi Cisco (in global configuration mode):
no ip http server
no ip http secure server
Ricordarsi di rendere effettive le modifiche:
copy running-configuration startup-configuration
Per verificare una eventuale compromissione dei sistemi,
qualora fosse gia' avvenuta:
1) verificare nei log di sistema la presenza
di messaggi con utenti sconosciuti o sospetti, tipo cisco_tac_admin,
cisco_support
Esempio:
%SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as UTENTE_SOSPETTO on line
%SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: UTENTE_SOSPETTO] [Source: source_IP_address] at 03:42:13 UTC Wed Oct 11 2023
2) verificare nei log l'aggiunta/installazione, tramite WEBUI,
di file non riconosciuti o sospetti
Esempio:
%WEBUI-6-INSTALL_OPERATION_INFO: User: username, Install Operation: ADD FILE_SOSPETTO
3) Cisco consiglia di lanciare questo comando da una macchina raggiungibile,
interrogando direttamente l'interfaccia WEBUI:
curl -k -X POST https://systemip/webui/logoutconfirm.html?logon_hash=1
Se viene restituita una stringa esadecimale la macchina potrebbe essere compromessa
:: Riferimenti
Cisco
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z
CSIRT Italia
https://www.csirt.gov.it/contenuti/rilevato-sfruttamento-in-rete-della-cve-2023-20198-relativa-al-software-cisco-ios-xe-al03-231016-csirt-ita
CIS - Center for Internet Security
https://www.cisecurity.org/advisory/a-vulnerability-in-cisco-ios-xe-software-web-ui-could-allow-for-privilege-escalation_2023-122
Mitre CVE
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-20198
GARR CERT Security Alert - subscribe/unsubscribe:
https://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iF0EAREIAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCZS+uxwAKCRDBnEyTZRJg
QjDFAKCYTV6efhF0CEawRgFNb6tvm4DPlACgmLDrTMw+diGgHdgr0/gKjyceQ5k=
=mVHJ
-----END PGP SIGNATURE-----