Webinar:

Detecteren van Phishing met een SOC

Lees verder

Pinewood Security Bulletin – Cisco IOS XE Software Web UI Privilege Escalation Vulnerability (CVE-2023-20198)

For English, see below.

Beschrijving

Er is een kritieke kwetsbaarheid ontdekt in de web UI-functie van Cisco IOS XE Software waardoor een aanvaller op afstand de volledige controle kan krijgen over een getroffen apparaat. De kwetsbaarheid staat toe om een account met toegangsniveau 15 (wat gelijkstaat aan volledige beheerdersrechten) aan te maken. De aanvaller kan dit account gebruiken om willekeurige commando’s op het apparaat uit te voeren.

Op het moment van schrijven wordt de kwetsbaarheid actief misbruikt.

Kwetsbare versies

Op dit moment zijn alle versies van Cisco IOS XE kwetsbaar als de WebUI is ingeschakeld via de commando’s “ip http server” of “ip http secure-server”.

Om te bepalen of de WebUI is ingeschakeld voor een systeem, kan op het systeem het commando “show running-config | include ip http server|secure|active” uitgevoerd worden om te controleren of een van beide opdrachten aanwezig is in de globale configuratie.

Als het “ip http server” commando aanwezig is en de configuratie ook “ip http active-session-modules none” bevat, is de kwetsbaarheid niet te misbruiken via HTTP.

Als het “ip http secure-server” aanwezig is en de configuratie ook “ip http secure-active-session-modules none” bevat, kan de kwetsbaarheid niet via HTTPS worden uitgebuit.

Oplossingen en tijdelijke mitigaties

Cisco werkt aan een softwarepatch om deze kwetsbaarheid te verhelpen en zal updates geven over de status van dit onderzoek.

Totdat er een patch beschikbaar is, raadt Cisco aan om de WebUI uit te schakelen met de commando’s “no ip http server” en “no ip http secure-server” in de globale configuratiemodus. Gebruik na het uitschakelen van de HTTP-serverfunctie het commando “copy running-configuration startup-configuration” om de configuratie op te slaan.

Detectie van mogelijk misbruik

Cisco adviseert om de systeemlogboeken te controleren op nieuwe onbekende beheeraccounts. Zie de Cisco Security Advisory met meer informatie over de specifieke indicatoren waarop gezocht moet worden.

Meer informatie

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl.

===== ENGLISH =====

Description

A critical vulnerability has been discovered in the web UI feature of Cisco IOS XE Software that allows an unauthenticated remote attacker to take full control of an affected device. The vulnerability allows the creation of an account with access level 15 (which grants full admin privileges). The attacker can use this account to execute arbitrary commands on the device.

At the time of writing, the vulnerability is being actively exploited.

Vulnerable versions

Currently, all versions of Cisco IOS XE are vulnerable if the WebUI is enabled via the commands “ip http server” or “ip http secure-server“.

To determine whether the WebUI is enabled for a system, the “show running-config | include ip http server|secure|active” command can be run on the system to check whether either command is present in the global configuration.

If the “ip http server” command is present and the configuration also includes “ip http active-session-modules none“, the vulnerability cannot be exploited via HTTP.

If the “ip http secure-server” command is present and the configuration also contains “ip http secure-active-session-modules none“, the vulnerability cannot be exploited via HTTPS.

Solutions and workarounds

Cisco is working on a software patch to fix this vulnerability and will provide updates on the status of this investigation.

Until a patch is available, Cisco recommends disabling the WebUI with the commands “no ip http server” and “no ip http secure-server” in global configuration mode. After disabling the HTTP server feature, use the “copy running-configuration startup-configuration” command to save the configuration.

Detection of possible misuse

Cisco recommends checking system logs for new unknown accounts. See the Cisco Security Advisory with more information on the specific indicators to look for.

More information

Questions

For questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl