El presente documento tiene como objetivo apoyarlos en las acciones de mitigación de la vulnerabilidad CVE-2023-20198 asociada a equipos Cisco en lo que el fabricante publica el parche de actualización.
Cisco tiene conocimiento de la explotación activa de una vulnerabilidad previamente desconocida en la función de interfaz de usuario web del software Cisco IOS XE cuando se expone a Internet o a redes que no son de confianza. Esta vulnerabilidad permite a un atacante remoto no autenticado crear una cuenta en un sistema afectado con acceso de nivel de privilegio 15. Luego, el atacante puede usar esa cuenta para hacerse con el control del sistema afectado.
Esta vulnerabilidad afecta al software Cisco IOS XE si la función de interfaz de usuario web está habilitada. La función de interfaz de usuario web se habilita a través de los comandos ip http server o ip http Secure-server.
Para determinar si la función del servidor HTTP está habilitada para un sistema, inicie sesión en el sistema y use el comando show running-config | incluya el comando ip http server|secure|active en la CLI para verificar la presencia del comando ip http server o el comando ip http Secure-server en la configuración global. Si cualquiera de los comandos está presente, la función del servidor HTTP está habilitada para el sistema.
Router# show running-config | include ip http server|secure|active
ip http server
ip http secure-server
Si el comando ip http server está presente y la configuración también contiene ip http active-session-modules none, la vulnerabilidad no se puede explotar a través de HTTP.
Si el comando ip http Secure-Server está presente y la configuración también contiene ip http Secure-active-session-modules none, la vulnerabilidad no se puede explotar a través de HTTPS.
Validar si el equipo fue comprometido.
Para determinar si un sistema puede haber sido comprometido, realice las siguientes comprobaciones:
- Verifique los registros del sistema para detectar la presencia de cualquiera de los siguientes mensajes de registro donde el usuario podría ser cisco_tac_admin, cisco_support o cualquier usuario local configurado que sea desconocido para el administrador de la red:
- %SYS-5-CONFIG_P: configurado mediante programación mediante el proceso SEP_webui_wsma_http desde la consola como usuario en línea
- %SEC_LOGIN-5-WEBLOGIN_SUCCESS: inicio de sesión exitoso [usuario: usuario ] [Fuente: dirección_IP_fuente ] a las 03:42:13 UTC del miércoles 11 de octubre de 2023
Nota: El mensaje %SYS-5-CONFIG_P estará presente para cada instancia en la que un usuario haya accedido a la interfaz de usuario web. El indicador que buscar es algún usuario nuevo o desconocido presente en el mensaje.
- Verifique los registros del sistema para ver el siguiente mensaje donde el nombre de archivo es un nombre de archivo desconocido que no se correlaciona con una acción de instalación de archivo esperada:
- %WEBUI-6-INSTALL_OPERATION_INFO: Usuario: nombre de usuario, Operación de instalación: AGREGAR nombre de archivo.
- Deshabilitar el servicio HTTP de los equipos Cisco de cara a internet. Los comandos para deshabilitar son:
- no ip http server
- no ip http secure-server
El siguiente árbol de decisiones ayuda a determinar que acciones tomar:
- ¿Estás ejecutando IOS XE?
- No. _ El sistema no es vulnerable. No es necesaria ninguna otra acción.
- Sí. ¿Está configurado el servidor IP http o el servidor seguro IP http ?
- No. La vulnerabilidad no es explotable. No es necesaria ninguna otra acción.
- Sí. ¿Ejecuta servicios que requieren comunicación HTTP/HTTPS (por ejemplo, eWLC)?
- No. Deshabilite la función del servidor HTTP.
- Sí. Si es posible, restrinja el acceso a esos servicios a redes confiables.
Si a fuerza debe mantener activo el servicio HTTP, restringir el acceso a dicho servicio y activarle las opciones:
ip http active-session-modules none
ip http secure-active-session-modules none
Para más información puede enviarnos un correo a: automatizacion@grupojar.com.mx y a Yordan Velez R yordan.velez.r@grupojar.com.mx