Cisco IOS XE Web UI kwetsbaarheid

Deze liveblog bevat informatie over een kwetsbaarheid in Cisco IOS XE Web UI. Zodra we een update hebben voegen we die aan deze blog toe. Meer informatie over mogelijke risico’s en details worden onderaan deze blog geplaatst. Laatste update op 23 oktober 2023.

Update 23 oktober 2023

14:30 | Cisco heeft het eerder uitgebrachte security advies bijgewerkt. Een tweede kwetsbaarheid is toegevoegd. De kwetsbaarheid is geregistreerd als CVE-2023-20273 en wordt gebruikt om een backdoor te installeren na het verkrijgen van toegang tot het systeem via kwetsbaarheid CVE-2023-20198. De backdoor biedt de aanvaller een vorm van persistence. Details over de backdoor en hoe deze kan worden geïdentificeerd zijn gepubliceerd in het Cisco Security Advies.

Beide kwetsbaarheden (CVE-2023-20198 en CVE-2023-20273) worden actief uitgebuit, en op basis van onderzoek lijkt de backdoor actief op een aanzienlijk aantal blootgestelde Cisco IOS XE systemen. Nu details over de backdoor zijn gepubliceerd, heeft de aanvaller de backdoor mogelijk aangepast, waardoor bestaande detectietechnieken niet meer werken.

Cisco heeft software updates gepubliceerd voor getroffen systemen met Cisco IOS XE versie 17.9, waarmee beide kwetsbaarheden zijn opgelost. Details vindt u in het Cisco-beveiligingsadvies. Software-updates voor andere versies volgen. Update naar de volgende versies:

Versie 17.9 update naar 17.9.4a
Versie 17.6 update naar 17.6.6a – Nog niet beschikbaar
Versie 17.3 update naar 17.3.8a – Nog niet beschikbaar
Versie 16.12 (Catalyst 3650 and 3850 only) update naar 16.12.10a – Nog niet beschikbaar

Call to action

Pas de software updates toe wanneer deze beschikbaar zijn. Zie het Cisco security advies voor meer informatie.
Als er nog geen software updates beschikbaar zijn, beperk dan de toegang tot de http/https Web UI tot alleen vertrouwde netwerken. Overweeg om de Web UI (tijdelijk) volledig uit te schakelen.
Beschouw het systeem als gecompromitteerd en inspecteer op Indicators of Compromise (IOCs), zoals beschreven in het Cisco security advies in het hoofdstuk “Indicators of Compromise”.

Als er verdachte of kwaadaardige activiteiten worden waargenomen in verband met dit artikel, neem dan contact op met T-CERT. Het Tesorion Computer Emergency Response Team biedt 24/7 specialistische ondersteuning. In noodgevallen voeren we onmiddellijk een eerste telefonische beoordeling uit en doen we er alles aan om de situatie zo snel mogelijk onder controle te krijgen.

Update 17 oktober 2023

13:30 | Op 16 oktober heeft Cisco een security advies gepubliceerd waarin een kritieke kwetsbaarheid wordt beschreven in de Web UI van Cisco IOS XE. De kwetsbaarheid is geregistreerd als CVE-2023-20198 en stelt een ongeauthenticeerde aanvaller in staat een gebruikersaccount te maken met volledige admin rechten (level 15 toegang). De aanvaller heeft met dit account volledige controle over het betreffende systeem. Om de kwetsbaarheid uit te kunnen buiten heeft de aanvaller toegang nodig tot de Web UI.

Uitbuiting van CVE-2023-20198 is reeds in het wild waargenomen, maar exploit code is niet publiek beschikbaar. Een software update is (nog) niet beschikbaar. Het advies is om de Web UI, die beschikbaar is via HTTP en HTTPS, uit te schakelen of de toegang te beperken tot alleen vertrouwde netwerken.

Aanleiding en achtergrond van deze blog

Deze blog bevat informatie over kwetsbaarheden, het mogelijke risico en advies om schade te voorkomen of beperken. Onderstaand staan de mogelijke risico’s, details en achtergrondinformatie.

Kwetsbaarheid informatie

Op 16 oktober heeft Cisco een security advies gepubliceerd waarin een kritieke kwetsbaarheid wordt beschreven in de Web UI van Cisco IOS XE. De kwetsbaarheid is geregistreerd als CVE-2023-20198 en stelt een ongeauthenticeerde aanvaller in staat een gebruikersaccount te maken met volledige admin rechten (level 15 toegang). De aanvaller heeft met dit account volledige controle over het betreffende systeem. Om de kwetsbaarheid uit te kunnen buiten heeft de aanvaller toegang nodig tot de Web UI.

Mogelijke risico’s

De kwetsbaarheid CVE-2023-20198 heeft een CVSS-score van 10. De CVSS-schaal loopt van 0 tot 10. Een score van 9,8 of hoger is zeldzaam en impliceert een hoog risico op uitbuiting met een grote impact. De kwetsbaarheid CVE-2023-20198 stelt een ongeauthenticeerde aanvaller met toegang tot de Web UI instaat om een gebruikersaccount met volledige admin rechten (level 15 toegang) aan te maken. De aanvaller heeft met dit account volledige controle over het betreffende systeem.

Uitbuiting van CVE-2023-20198 is reeds in het wild waargenomen, maar exploit code is niet publiek beschikbaar. Een software update is (nog) niet beschikbaar. Het advies is om de Web UI die beschikbaar is via HTTP en HTTPS uit te schakelen of de toegang te beperken tot alleen vertrouwde netwerken.

Detail informatie

Cisco IOS XE is kwetsbaar voor CVE-2023-20198. Cisco heeft nog geen versie informatie gepubliceerd en er is geen software update beschikbaar op dit moment. Het advies is om de Web UI op HTTP/HTTPS uit te schakelen of de toegang tot deze interface te beperken tot alleen vertrouwde netwerken. Wanneer een software update wordt gepubliceerd zullen wij dit bericht voorzien van een update.

Cisco heeft Indicators of Compromise (IOCs) gepubliceerd. Het advies is om mogelijk getroffen apparaten te controleren op de aanwezigheid van deze indicatoren. De IOCs kunnen gevonden worden in het beveiligingsadvies van Cisco: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z

Bronnen

Meer informatie:

Aanmelden

Wilt u tijdig geïnformeerd worden? Schrijf u dan in voor onze technische updates

Wilt u de kritieke kwetsbaarheden voortaan ook per e-mail ontvangen? Abonneer u dan op de nieuwbrief.

Tesorion gebruikt uw gegevens voor het versturen van de gevraagde informatie en mogelijk telefonisch contact. U kunt zich op elk gewenst moment afmelden. Lees voor meer informatie ons privacybeleid.