シスコは、Cisco IOS XE の脆弱性の積極的な悪用に苦しんでいます。

Darkcrizt

3分

脆弱性

これらの欠陥が悪用されると、攻撃者は機密情報に不正にアクセスしたり、一般的に問題を引き起こしたりする可能性があります

過去数週間の間に シスコは重大なセキュリティ問題に関与している 搭載された物理および仮想 Cisco デバイスで使用される Web インターフェイスの実装において Cisco IOS XE オペレーティング システムを使用します。

そしてXNUMX月中旬からは、 重大な脆弱性が確認されたというニュースが発表されました (すでに (CVE-2023-20198) にカタログされています。これにより、Web インターフェイスが動作するネットワーク ポートにアクセスできる場合、認証なしで最大レベルの特権でシステムへのフル アクセスが許可されます。

と言われています 問題の危険性が悪化する という事実のため、 攻撃者はパッチが適用されていない脆弱性を XNUMX か月以上にわたって悪用し続けている 管理者権限を持つ追加の「cisco_tac_admin」および「cisco_support」アカウントを作成し、デバイス上でコマンドを実行するためのリモート アクセスを提供するデバイスにインプラントを自動的に配置します。

この脆弱性の問題は、XNUMX 番目の脆弱性が発生することです。 (CVE-2023-20273)これは、Cisco IOS XE を実行しているデバイスにインプラントをインストールする攻撃に使用されました。 シスコの報告によると、攻撃者は最初の脆弱性 CVE-2023-20198 を悪用した後に悪用し、悪用中に作成された root 権限を持つ新しいアカウントの使用を許可して、デバイス上で任意のコマンドを実行することを許可しました。

脆弱性の悪用が指摘されている CVE-2023-20198 により、攻撃者がデバイスへの特権レベル 15 のアクセスを取得できるようになります。これを使用してローカル ユーザーを作成し、通常のユーザー アクセスでログインできます。 さらに、これにより、リクエスト内の文字を「%xx」という表現に置き換えることで検証をバイパスすることが可能になりました。 たとえば、WMSA (Web Service Management Agent) サービスにアクセスするには、「POST /%2577ebui_wsma_HTTP」リクエストを送信し、アクセスを検証せずに「webui_wsma_http」ハンドラーを呼び出します。

XNUMX 月の場合とは異なり、この XNUMX 月のアクティビティには、設定ファイル (「cisco_service.conf」) で構成される「BadCandy」と呼ばれるインプラントの導入など、その後のいくつかのアクションが含まれていました。 構成ファイルは、インプラントと対話するために使用される新しい Web サーバー エンドポイント (URI パス) を定義します。 このエンドポイントは、以下で詳しく説明する特定のパラメータを受け取り、これにより攻撃者はシステム レベルまたは IOS レベルで任意のコマンドを実行できるようになります。 インプラントをアクティブにするには、Web サーバーを再起動する必要があります。 観察された少なくとも XNUMX つのケースでは、サーバーが再起動されなかったため、インプラントはインストールされているにもかかわらずアクティブ化されませんでした。

BadCandy インプラントは、15 進文字で構成される 2023 つの可変文字列を含むファイル パス「/usr/binos/conf/nginx-conf/cisco_service.conf」に保存されます。 インプラントは非永続的です。つまり、デバイスを再起動すると削除されますが、新しく作成されたローカル ユーザー アカウントはシステムの再起動後もアクティブなままです。 新しいユーザー アカウントにはレベル 20198 の権限があり、デバイスへの完全な管理者アクセス権を持っています。 デバイスへのこの特権アクセスとその後の新しいユーザーの作成は、CVE-XNUMX-XNUMX として登録されます。

ケースについて シスコは最新情報をリリースしています これは、同社が実施した調査、提示された脆弱性の技術分析、および攻撃者のトラフィックの分析に基づいて独立した研究者によって作成されたエクスプロイトのプロトタイプの両方に関するものです。

適切なレベルのセキュリティを確保するために、選択したホストまたはローカル ネットワークにのみ Web インターフェイスへのアクセスを開くことが推奨されますが、多くの管理者はグローバル ネットワークから接続するオプションを残しています。 特に、Shodan サービスによると、現在 140 万台を超える潜在的に脆弱なデバイスがグローバル ネットワークに登録されています。 CERT 組織は、すでに約 35 台の Cisco デバイスが攻撃に成功したことを登録しています。

最後に あなたがそれについてもっと知りたいなら メモについては、元の出版物を参照してください。 次のリンク。