NÚKIB upozorňuje na zranitelnosti v Cisco IOS XE

Národní úřad pro kybernetickou a informační bezpečnost upozorňuje na kritickou zranitelnost CVE-2023-20198, která se týká webového rozhraní operačního systému Cisco IOS XE. Tato zranitelnost umožňuje útočníkovi vytvořit na napadeném zařízení uživatelský účet s úrovní oprávnění “level 15” a tak získat tak kontrolu nad napadenýmdaným zařízením.

Zranitelnost má CVSS Score 10 a je aktivně zneužívána.

Zranitelné systémy:

Zařízení s operačním systémem CISCO IOS XE, která mají zapnutý modul web UI.
S ohledem na uvedenou zranitelnost doporučujeme postupovat dále uvedeným způsobem.

Mitigace zranitelnosti:

Vypnout modul web UI.
V případě, že jej nelze vypnout, omezit jeho dostupnost z internetu i v rámci interní sítě, tj. povolit dostupnost pouze z VLAN určené ke správě těchto zařízení.

Detekce:

Pro ověření, zda je na zařízení modul web UI zapnutý, lze použít příkaz: show running-config | include ip http server|secure|active, který blíže popisuje dokumentace ke zranitelnosti od společnosti Cisco.

Daná dokumentace spolu s článkem od Cisco Talos popisuje i indikátory kompromitace, které doporučujeme vyhledat ve zranitelných zařízeních. Ačkoliv jejich výčet není definitivní, mohou pomoci při vyhodnocení závažnosti situace.

Dále NÚKIB upozorňuje na zranitelnost CVE-2023-20273, která se týká webového rozhraní operačního systému Cisco IOS XE. Tato zranitelnost umožňuje útočníkovi ve spojení s kritickou zranitelností CVE-2023-20198 vytvořit na napadeném zařízení účet s oprávněním “level 15” a následně zvýšit oprávnění na úroveň “root”. S tímto vysokým oprávněním může nadále instalovat na zařízení vlastní kód.

Zranitelnost má CVSS Score 7.2 a je aktivně zneužívána.

Jedná se o další identifikovanou zranitelnost v tomto systému za měsíc říjen. Minulý týden jsme upozornili na kritickou zranitelnost CVE-2023-20198, která umožňuje útočníkům vytvořit na napadeném zařízení účet s oprávněním “level 15”. Po získání prvotního přístupu touto zranitelností, může útočník navázat zneužitím zranitelnosti CVE-2023-20273, čímž si zvýší svá oprávnění.

Mitigace
Dle doporučení společnosti Cisco již byla vydaná verze neobsahující výše zmíněné zranitelnosti:

17.9.4a pro řadu verzí 17.9
Doporučujeme tedy upgradovat zranitelná zařízení na danou verzi a mitigovat tak možné zneužití rozhraní v budoucnu omezením přístupu k tomuto rozhraní.

Pro ostatní řady verzí není oprava momentálně dostupná. Doporučujeme tedy postupovat v mitigaci a detekci jako v případě zranitelnosti CVE-2023-20198.

TZ/NÚKIB

Zdroj: IT SECURITY NETWORK NEWS 

Napsat komentář

Generated by Feedzy