最后更新于2023年10月19日星期四17:30:24 GMT
10月16日星期一,思科的Talos集团 发表博客 利用CVE-2023-20198的活跃威胁活动, 思科IOS XE软件的web UI组件中存在一个“以前未知的”零日漏洞. IOS XE是一个运行在 广泛的思科网络设备,包括路由器、交换机、无线控制器、接入点等. 成功利用CVE-2023-20198允许远程, 未经身份验证的攻击者在受影响的设备上创建帐户,并使用该帐户获取完整的管理员权限, 有效地实现对系统的完全接管.
有 CVE-2023-20198没有补丁 截至2023年10月17日. 正如Cisco Talos在他们的博客中指出的那样,它正在被积极地利用. 截至10月17日,似乎有相当数量的设备在公共互联网上运行IOS XE. 对运行IOS XE的互联网暴露设备的估计各不相同, 但攻击面面积似乎相对较大; 一个估计 暴露的设备数量超过140K.
在思科观察到的活动中, 攻击者从可疑的IP地址创建(恶意)本地用户帐户. 其他活动包括部署一个植入程序,允许攻击者在系统级或IOS级执行任意命令. 思科对他们观察到的恶意行为有详尽的描述 here.
受影响的产品
Cisco’s 关于CVE-2023-20198的公共咨询 只是说,如果启用了web UI功能,思科IOS XE软件就容易受到攻击 IP HTTP服务器
or IP HTTP安全服务器
命令). 思科并没有提供一定运行IOS XE的产品列表,但他们的 IOS XE的产品页面 列出了一些,包括Catalyst、ASR和NCS系列.
根据建议, 客户可以确定系统是否启用了HTTP Server特性, 通过登录系统并使用 Show running-config | include IP HTTP server|secure|active
命令,检查是否存在 IP HTTP服务器
命令或 IP HTTP安全服务器
命令. 的存在 either 命令或 both 系统配置中的命令表示启用了web UI特性(因此系统容易受到攻击)。.
思科的报告还指出,如果 IP HTTP服务器
命令,并且配置中还包含 IP HTTP active-session-modules无
,漏洞是 不能通过HTTP利用. If the IP HTTP安全服务器
命令,并且配置中还包含 IP HTTP secure-active-session-modules无
,漏洞是 不能通过HTTPS利用.
缓解指导
代替贴片, 组织应在紧急情况下禁用面向internet的系统上的web UI (HTTP服务器)组件. 要禁用HTTP Server特性,请使用 无IP HTTP服务器
or 无IP HTTP安全服务器
命令. Per 思科的咨询,如果HTTP服务器和HTTPS服务器都在使用, 这两个命令都是必需的 关闭HTTP Server特性. 组织还应避免将web UI和管理服务暴露给internet或不受信任的网络.
禁用IOS XE系统的web UI组件和限制互联网暴露可以降低来自已知攻击媒介的风险, 但值得注意的是 不 降低可能已经成功部署在易受攻击系统上的植入物的风险. Rapid7建议在可能的情况下调用事件响应程序,优先寻找思科共享的危害指标, 下面列出的.
思科观察到攻击者的行为
Cisco Talos博客上的CVE-2023-21098有一个 植入物的全面分析 他们被部署在威胁行动中. 我们强烈建议完整地阅读这份分析报告. 植入被保存在文件路径下 /usr/binos/conf/nginx-conf/cisco_service.conf
它包含两个由十六进制字符组成的可变字符串. 虽然植入物不是持久的(设备重启会将其移除), 攻击者创建的本地用户帐号为.
思科观察到该威胁行为者利用了CVE-2021-1435, 哪些是在2021年修补的, 在获得易受CVE-2023-20198攻击的设备的访问权限后安装植入物. Talos还指出,他们已经看到针对CVE-2021-1435打了完整补丁的设备通过一种尚未确定的机制成功安装了植入物.”
rapid7观察到攻击者的行为
到目前为止,Rapid7 MDR已经在客户环境中发现了少量利用CVE-2023-20198的实例, 包括同一天同一客户环境中的多个利用实例. 我们的团队根据现有证据确定的泄露指标表明,攻击者使用了与Cisco Talos描述的技术类似的技术.
Rapid7在我们的调查过程中发现了技术的变化. 攻击后在系统上执行的第一个恶意活动与 admin
account. 以下是该日志文件的摘录:
% SYS-5-CONFIG_P:通过进程SEP_webui_wsma_http从控制台以管理员身份在vty1上编程配置
威胁行为者创建了本地帐户 cisco_support
使用命令 用户名cisco_support privilege 15 algorithm-type sha256 secret *
在用户上下文中 admin
. 然后,威胁参与者使用新创建的密码对系统进行身份验证 cisco_support
帐户并开始运行几个命令,包括以下命令:
显示running-config
显示语音寄存器全局
显示拨号语音摘要
展示的平台
显示流量监视器
展示的平台
显示平台软件iox-service
显示iox-service
dir bootflash:
dir闪:
清晰的记录
没有用户名cisco_support
无用户名cisco_tac_admin
无用户名cisco_sys_manager
在完成这些命令后,威胁参与者删除了该帐户 cisco_support
. 的账户 cisco_tac_admin
and cisco_sys_manager
也被删除了, 但Rapid7没有在可用日志中观察到与这些帐户相关的帐户创建命令.
威胁行为者还执行了 清晰的记录
命令清除系统记录并掩盖他们的踪迹. Rapid7在10月12日发现了第二次开采的测井记录, 2023, 但无法查看第一次入侵的日志,因为日志已被清除.
证据表明,威胁参与者执行的最后一个操作与一个名为 aaa
:
% web -6- install_operation_info:用户:cisco_support,安装操作:ADD aaa
对比10月12日在同一环境中发生的两次入侵, 在观察到的技术上有细微的差异. 例如, 日志清理只在第一次利用中执行, 而第二次利用包括额外的目录查看命令.
妥协指标
The Cisco Talos博客 CVE-2023-20198指示组织在运行IOS XE的设备上寻找无法解释的或新创建的用户. 识别Talos观察到的植入物是否存在的一种方法是对设备运行以下命令, 其中“DEVICEIP”部分是要检查的设备的IP地址的占位符:
curl -k -X POST "http[:]//DEVICEIP/web /logoutconfirm . curl.html?logon_hash = 1”
上面的命令将向设备的Web UI执行一个请求,以查看植入物是否存在. 如果请求返回一个十六进制字符串, 植入程序已经存在(注意,在植入程序部署后,攻击者必须重新启动web服务器,才能使植入程序激活)。. 根据思科的博客, 如果设备只配置了不安全的web接口,则上述检查应该使用HTTP方案.
其他Cisco ioc
- 5.149.249[.]74
- 154.53.56[.]231
用户名:
- cisco_tac_admin
- cisco_support
Cisco Talos还建议执行以下检查,以确定设备是否已被入侵:
检查系统日志,看是否有以下日志消息出现在“user”可能出现的地方 cisco_tac_admin
, cisco_support
或网络管理员不知道的任何已配置的本地用户:
-
% SYS-5-CONFIG_P:通过进程SEP_webui_wsma_http从控制台作为在线用户以编程方式配置
-
%SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: user] [Source: source_IP_address] at 03:42:13 UTC 2023年10月11日星期三
注意: % SYS-5-CONFIG_P
消息将出现在用户访问web UI的每个实例中. 要查找的指示器是消息中出现的新用户名或未知用户名.
组织还应该检查系统日志中的以下消息,其中filename是一个未知的文件名,与预期的文件安装操作无关:
% web -6- install_operation_info: User: username, Install Operation: ADD filename
Rapid7客户
InsightVM和expose客户可以通过身份验证漏洞检查来评估他们对CVE-2023-20198的暴露,该漏洞检查查找启用了web UI的Cisco IOS XE设备. 该检查在今天(10月17日)的内容发布中可用.
通过Rapid7扩展的检测规则库,insighttidr和Rapid7 MDR客户拥有现有的检测覆盖范围. 部署了以下检测规则,并通过思科提供的IP地址对与此漏洞相关的活动发出警报:
- 网络流-当前事件相关的IP观察
- 可疑的连接-当前事件相关的IP观察
Updates
2023年10月17日: 更新了rapid7观察到的攻击者行为和ioc.