CVE-2023-20198:Cisco IOS XE のゼロデイ脆弱性の積極的悪用
关于博客:CVE-2023-20198:思科IOS XE积极恶意利用零日漏洞
最終更新日時: Thu, 19 Oct 2023 17:30:24 GMT
10月16日(月)、CiscoのTalosグループは、Cisco IOS XEソフトウェアのWeb UIコンポーネントに存在する「これまで知られていなかった」ゼロデイ脆弱性CVE-2023-20198を悪用した活発な脅威キャンペーンに関するブログを公開しました。IOS XE は、ルーター、スイッチ、ワイヤレスコントローラー、アクセスポイントなど、幅広い Cisco ネットワーキング機器上で動作するオペレーティングシステムです。CVE-2023-20198 の悪用に成功すると、リモートの認証されていない攻撃者が、影響を受けるデバイス上にアカウントを作成し、そのアカウントを使用して完全な管理者権限を取得し、実質的にシステムの完全な乗っ取りを可能にします。
2023年10月17日現在、CVE-2023-20198に対するパッチはありません(※)。Cisco Talosが彼らのブログで指摘したように、これは野生で活発に悪用されています。10月17日の時点で、公衆インターネット上でIOS XEを実行しているデバイスが相当数あるようです。虽然在互联网上运行IOS XE的设备数量各不相同,但攻击对象范围比较广。。
在思科观察到的活动中,攻击者从一个可疑的IP地址创建了一个(恶意的)本地用户账户。。此外,我们也在部署植入物,让攻击者在系统级或IOS级上执行任何命令。。Ciscoは、彼らが観察した悪意のある行動について、ここに広範な説明をしていています。
※译注:确认2023年10月23日现在已经开始提供针对该漏洞的部分更新。。
対象製品
CiscoのCVE-2023-20198に関する公開アドバイザリでは、Cisco IOS XEソフトウェアがWeb UI機能を有効にしている場合に脆弱性があると述べているだです(UIはip http serverまたはip http secure-serverコマンドで有効になる)。Cisco は、IOS XE を確実に実行する製品のリストを提供していませんが、IOS XE の製品ページには、Catalyst、ASR、NCS ファミリを含むいくつかの製品がリストアップされています。
この勧告によると、システムにログインし、CLI で show running-config | include ip http server|secure|active コマンドを使用して、グローバル・コンフィギュレーションに ip http server コマンドまたは ip http secure-server コマンドが存在するかどうかを確認することで、HTTP サーバー機能がシステムで有効になっているかどうかを判断できます。システム・コンフィギュレーションにどちらかのコマンド、または両方のコマンドが存在する場合、ウェブ UI 機能が有効になっている(そしてシステムが脆弱である)ことを示します。
思科的建议是,如果存在ip http server命令,并且配置中还包括ip http active-session-modules none,HTTP 上ではこの脆弱性は悪用できないと規定しています。ip http secure-server コマンドが存在し、コンフィグレーション��� ip http secure-active-session-modules none も含まれている場合、この脆弱性は HTTPS 上では悪用できません。
緩和ガイダンス
组织需要在紧急情况下禁用面向互联网的系统的Web UI (HTTP服务器)组件,而不是补丁。。为了禁用HTTP服务器功能,在全局配置模式下使用no ip HTTP server或no ip HTTP secure-server命令。Ciscoの勧告に根据,在HTTP服务器和HTTPS服务器都被使用的情况下,要使HTTP服务器功能无效両方のコマンドが必要です。组织也必须确保Web UI和管理服务不被发布在互联网和不可靠的网络上。。
IOS XE システムのウェブ UI コンポーネントを無効にし、インターネットへの露出を制限することで、既知の攻撃ベクトルによるリスクは軽減されますが、脆弱なシステムに既に導入されている可能性のあるインプラントによるリスクは軽減されません。Rapid7建议,尽可能启动事件响应程序,优先调查思科共享的IOC。。
シスコが観察した攻撃者の行動
思科Talos关于CVE-2023-21098的博客被确认是该威胁运动的一部分インプラントの完全な分析が掲載されています。この分析全体を読むことを強くお勧めします。インプラントは、/usr/binos/conf/nginx-conf/cisco_service.它被保存在conf的文件路径下,包含两个由十六进制字符组成的变量字符串。。植入物不是永久的(重启设备后会被删除),但是攻击者创建的本地用户账户是永久的。。
思科确认,在CVE-2023-20198访问脆弱设备后,威胁者恶意利用2021年安装补丁的cve - 2121 -1435安装植入物。。。Talos还确认,已经完全补丁cve - 2121 -1435的设备“通过尚未确定的机制”成功安装了植入物。。
攻撃者の行動の迅速な7観察
到目前为止,rapid7mdr已经确认了CVE-2023-20198在客户环境中被滥用的少数案例,其中包括多个同一天在同一客户环境中被滥用的案例。。我们团队从现有证据中发现的侵权指标显示,他们使用了思科Talos所描述的类似技术。。
Rapid7は調査の過程で様々なテクニックを確認しました。漏洞利用后,系统上执行的第一个恶意活动与admin帐户有关。。以下はこのログファイルからの抜粋です:
sys-5-config_p:作为vty1上的admin,从控制台通过过程sep_webui_wsma_http程序配置的威胁行为
在用户上下文admin下,使用命令username cisco_support privilege 15 algorithm-type sha256 secret *
ローカルアカウント cisco_support を
作成しました。然后,威胁行为者开始使用这个新创建的cisco_support账户向系统进行认证,并执行一些命令,包括:
show running-config
show voice register global
show dial-peer voice summary
show platform
show flow monitor
show platform
show platform software iox-service
show iox-service
dir bootflash:
dir flash:
clear logging
no username cisco_support
no username cisco_tac_admin
no username cisco_sys_manager
これらのコマンドの完了後、脅威行為者はアカウント cisco_support を削除しました。cisco_tac_admin と cisco_sys_manager のアカウントも削除されましたが、Rapid7 はこれらのアカウントに関連するアカウント作成コマンドを利用可能なログで確認していません。
脅威者はまた、システムのログを消去し、痕跡を消すためにクリアロギングコマンドを実行した。Rapid7在2023年10月12日确认了第二次入侵的日志,但是因为日志被清除了,所以无法确认第一次入侵的日志。
证据是,威胁行为者实施的最后的行动涉及名为aaa的文件:
% webui -6- install_operation_info: User: cisco_support, Install OPERATION: ADD aaa
10月12日に同じ環境で発生した2つの侵入を比較すると、観察された技術に若干の違いがあります。例如,删除日志只在第一次入侵中执行,但第二次入侵包含了额外的目录浏览命令。。
妥協の指標
Cisco Talos の CVE-2023-20198 に関するブログでは,在运行IOS XE的设备上寻找不可描述的或新创建的用户。。确定Talos观测到的植入是否存在的一种方法是对设备执行以下命令:
curl - k - x post " http [:]// deviceip / webui / logoutconfirm.html?logon_hash=1"
当你执行上面的命令时,你的请求会被发送到设备的Web UI上,并检查是否存在植入物。。リクエストが 16 進数の文字列を返した場合、インプラントが存在します(インプラントがアクティブになるには、インプラントが展開された後に攻撃者によってウェブサーバが再起動される必要があることに注意してください)。根据思科的博客,如果你的设备只设置为不安全的网络接口,那么你必须使用HTTP方案来进行上述检查。。
その他のシスコIOC
- 5.149.249[.]74
- 154.53.56[.]231
ユーザー名
- cisco_tac_admin
- cisco_support
另外,思科Talos建议执行以下检查以确定设备是否可能被侵犯:
システムログに以下のログメッセージがないか確認してください。“user”可以指定思科_tac_admin、思科_support或网络管理员不知道的本地配置用户:
- %SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as user on line
- %SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: user] [Source: source_IP_address] at 03:42:13 UTC Wed Oct 11 2023
注:% sys -5- config_p消息会在用户访问Web UI的每个实例中显示。メッセージに新しいユーザ名または不明なユーザ名が含まれているかどうかを確認します。
组织还需要确认系统日志中是否有以下消息,其中filename是未知的文件名,并且与预期的文件安装行为不相关:
- % webui -6- install_operation_info: User: username, Install OPERATION: ADD filename
Rapid7のお客様
InsightVM および Nexpose の顧客は、Web UI が有効になっている Cisco IOS XE デバイスを検索する認証済み脆弱性チェックにより、CVE-2023-20198 への露出を評価できます。このチェックは、本日(10月17日)のコンテンツリリースで利用可能です。
InsightIDR和Rapid7 MDR的客户通过Rapid7广泛的检测规则库拥有现有的检测覆盖范围。它采用了以下检测规则,通过思科提供的IP地址对与该漏洞相关的活动发出警报:
- Network Flow - CURRENT_EVENTS Related IP Observed
- Suspicious Connection - current_events Related IP Observed
更新情報
2023年10月17日Rapid7が観測した攻撃者の行動とIOCを更新しました。
※本ブログは英語版ブログ "Active Exploitation of Cisco IOS XE Zero-Day Vulnerability" の機械翻訳版です。最新情報等につきましては、原文をご参照ください。