Impatto Sistemico

Critico (79.48)

Sintesi

Rilevato lo sfruttamento attivo in rete della vulnerabilità CVE-2023-20198 presente nel software Cisco IOS XE.

Note: il vendor afferma che la CVE-2023-20273 risulta essere sfruttata attivamente in rete.

Tipologia

• Privilege Escalation

Descrizione e potenziali impatti

È stato recentemente rilevato lo sfruttamento della vulnerabilità CVE-2023-20198 presente nei prodotti che utilizzano il sistema operativo IOS-XE.

Qualora sfruttata, tale vulnerabilità – con score CVSS v3 pari a 10 – potrebbe permettere, ad un utente malintenzionato non autenticato, la creazione di un account di tipo admin dall’interfaccia Web UI ed ottenere il controllo dei dispositivi target.

È stato inoltre rilevato lo sfuttamento della CVE-2023-20273 – con score CVSS v3 pari a 7.2 – che, ottenuto l’accesso al sistema target, permetterebbe ad un eventuale attaccante la possibilità di elevare i propri privilegi sul sistema interessato.

Prodotti e versioni affette

Cisco IOS-XE, con Web UI abilitata ed esposta su Internet.

Azioni di mitigazione

In attesa delle patch di sicurezza, il vendor raccomanda di disabilitare tempestivamente la funzionalità HTTP Server nei sistemi esposti su Internet, tramite i comandi no ip http server o no ip http secure-server (in global configuration mode).

Dopo aver disabilitato tale funzionalità, si raccomanda di utilizzare il comando copy running-configuration startup-configuration per rendere effettive le modifiche.

Per eventuali ulteriori approfondimenti si consiglia di consultare bollettino di sicurezza Cisco, disponibile nella sezione Riferimenti.

Aggiornamento del 24/10/2023

In linea con le dichiarazioni del vendor, si consiglia di aggiornare tempestivamente i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza disponibile nella sezione Riferimenti.

Verifica di eventuale compromissione

Per verificare l’eventuale compromissione dei proprio ambiente è possibile eseguire le azioni riportate di seguito:

• verificare sui log di sistema la presenza di messaggi in cui lo user potrebbe essere cisco_tac_admin , cisco_support o qualsiasi utente locale sconosciuto all’amministratore di rete, come riportato si seguito:

%SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as user on line%SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: user] [Source: source_IP_address] at 03:42:13 UTC Wed Oct 11 2023

NB: %SYS-5-CONFIG_P è presente per ogni istanza in cui un utente ha avuto accesso all’interfaccia web. L’indicatore da ricercare riguarda quindi i nomi utente nuovi/sconosciuti presenti nel messaggio.

• Verificare sui log di sistema i messaggi in cui il filename è sconosciuto e non correlato a un’azione di installazione:

%WEBUI-6-INSTALL_OPERATION_INFO: User: username, Install Operation: ADD filename

Infine, il vendor consiglia l’utilizzo del seguente comando al fine di verificare l’eventuale compromissione, dove systemip è l’indirizzo IP del sistema da controllare. Tale comando deve essere eseguito da una workstation con accesso al sistema in questione:

curl -k -X POST https://systemip/webui/logoutconfirm.html?logon_hash=1

L’eventuale compromissione potrebbe essere confermata tramite la restituzione di una stringa esadecimale da parte di tale comando.