Alert GCSA-23137 - Vulnerabilita' critica per apparati Cisco IOS-XE

******************************************************************

Alert ID: GCSA-23137
Data: 18 Ottobre 2023
Titolo: Vulnerabilita' critica per apparati Cisco IOS-XE

******************************************************************

:: Descrizione del problema

E' stata rilevata una vulnerabilita' di tipo critico negli
apparati Cisco IOS-XE, che permette ad un attaccante
non autenticato sul sistema la creazione di un account di tipo admin
dall'interfaccia Web UI, ed ottenere il completo controllo dell'apparato

La vulnerabilita', con score CVSS v3 10, e' la CVE-2023-20198, ed e'
al momento sfruttata pesantemente in rete

Si consiglia di applicare le soluzioni di mitigazione sotto riportate

:: Software interessato

Cisco IOS XE Software con l'interfaccia Web UI abilitata

:: Impatto

Privilege escalation
Controllo completo del sistema

:: Soluzioni

Al momento Cisco non ha ancora rilasciato una patch di sicurezza,
nel frattempo si raccomanda di mitigare il problema

*** Disabilitare prima possibile la funzionalita' HTTP Server nei sistemi esposti

Comandi Cisco (in global configuration mode):

no ip http server
no ip http secure server

Ricordarsi di rendere effettive le modifiche:

copy running-configuration startup-configuration

Per verificare una eventuale compromissione dei sistemi,
qualora fosse gia' avvenuta:

1) verificare nei log di sistema la presenza
di messaggi con utenti sconosciuti o sospetti, tipo cisco_tac_admin,
cisco_support

Esempio:
%SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as UTENTE_SOSPETTO on line

%SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: UTENTE_SOSPETTO] [Source: source_IP_address] at 03:42:13 UTC Wed Oct 11 2023

2) verificare nei log l'aggiunta/installazione, tramite WEBUI,
di file non riconosciuti o sospetti

Esempio:
%WEBUI-6-INSTALL_OPERATION_INFO: User: username, Install Operation: ADD FILE_SOSPETTO

3) Cisco consiglia di lanciare questo comando da una macchina raggiungibile,
interrogando direttamente l'interfaccia WEBUI:

curl -k -X POST https://systemip/webui/logoutconfirm.html?logon_hash=1

Se viene restituita una stringa esadecimale la macchina potrebbe essere compromessa

:: Riferimenti

Cisco
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z

CSIRT Italia
https://www.csirt.gov.it/contenuti/rilevato-sfruttamento-in-rete-della-cve-2023-20198-relativa-al-software-cisco-ios-xe-al03-231016-csirt-ita

CIS - Center for Internet Security
https://www.cisecurity.org/advisory/a-vulnerability-in-cisco-ios-xe-software-web-ui-could-allow-for-privilege-escalation_2023-122

Mitre CVE
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-20198

GARR CERT Security Alert - subscribe/unsubscribe:
https://www.cert.garr.it/alert/ricevi-gli-alert-di-cert

-----BEGIN PGP SIGNATURE-----

iF0EAREIAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCZS+uxwAKCRDBnEyTZRJg
QjDFAKCYTV6efhF0CEawRgFNb6tvm4DPlACgmLDrTMw+diGgHdgr0/gKjyceQ5k=
=mVHJ
-----END PGP SIGNATURE-----

Cerca nel blog

alerts.gdaverio.it

Alert GCSA-23137 - Vulnerabilita' critica per apparati Cisco IOS-XE