Webinar:

Detecteren van Phishing met een SOC

Lees verder

UPDATE: Pinewood Security Bulletin – Cisco IOS XE Software Web UI Privilege Escalation Vulnerability (CVE-2023-20198)

For English, see below.

Beschrijving

Cisco heeft updates uitgebracht voor een ernstige kwetsbaarheid in de WebUI-functie van Cisco IOS XE Software die een aanvaller in staat stelt om op afstand (en zonder authenticatie) volledige controle te verkrijgen over een getroffen apparaat. Naast de eerdere kwetsbaarheid die al bekend was (CVE-2023-20198), blijken aanvallers ook misbruik te maken van een aanvullende kwetsbaarheid (CVE-2023-20273) voor het installeren van een malafide implant op kwetsbare devices.

Aanvallers maken al enige tijd misbruik van deze kwetsbaarheden waardoor de kans op compromittatie van een device dat met de WebUI-functie bereikbaar is vanaf het internet, groot is.

Kwetsbare versies

De kwetsbaarheid bevindt zich in alle devices met onderstaande Cisco IOS XE versies:

  • 17.9.4 ouder dan 17.9.4a
  • 17.6.6 ouder dan 17.6.6a
  • 17.3.8 ouder dan 17.3.8a
  • 16.12.10 ouder dan 16.12.10a

Misbruik van de kwetsbaarheid vanaf internet is alleen mogelijk indien de WebUI-functie bereikbaar is vanaf het internet, in de regel via poort 80/tcp (HTTP) of 443/tcp (HTTPS). Om te bepalen of de WebUI is ingeschakeld voor een systeem, kan op het systeem het commando “show running-config | include ip http server|secure|active” uitgevoerd worden om te controleren of één van beide opdrachten aanwezig is in de globale configuratie.

Als het “ip http server” commando aanwezig is en de configuratie ook “ip http active-session-modules none” bevat, is de kwetsbaarheid niet te misbruiken via HTTP.

Als het “ip http secure-server” aanwezig is en de configuratie ook “ip http secure-active-session-modules none” bevat, kan de kwetsbaarheid niet via HTTPS worden uitgebuit.

Oplossingen en tijdelijke mitigaties

Cisco heeft IOS versie 17.9.4a (voor Routing/SDWAN en IOT) uitgebracht om de kwetsbaarheid met CVE-2023-20198 te verhelpen. Wij raden aan om deze update z.s.m. te installeren op kwetsbare devices. Cisco heeft aangegeven binnenkort ook met updates te komen voor Cisco IOS XE 17.6.6, 17.3.8 en 16.12.10. Wij raden aan de beschikbaarheid hiervan te monitoren via de website van Cisco.

Daarnaast is het advies om – als best practice – de WebUI uit te schakelen of in ieder geval niet bereikbaar te laten zijn vanaf het internet. Het uitschakelen van de WebUI is mogelijk met de commando’s “no ip http server” en “no ip http secure-server” in de globale configuratiemodus. Gebruik na het uitschakelen van de HTTP-serverfunctie het commando “copy running-configuration startup-configuration” om de configuratie op te slaan.

Detectie van mogelijk misbruik

Nieuwe user accounts

Het is bekend dat aanvallers bij het misbruiken van de kwetsbaarheden een reeks aan accounts aanmaken. Controleer op kwetsbare devices daarom in ieder geval of de gebruikers “cisco_support”, “cisco_tac_admin” of “cisco_sys_manager” zijn aangemaakt. Het is bekend dat de aanvallers deze accounts in sommige gevallen later ook weer hebben verwijderd, waardoor het ontbreken ervan geen definitieve indicatie vormt dat aanvallers geen misbruik hebben gemaakt van dit systeem. Controleer daarom ook de logging van het device op de aanwezigheid van deze gebruikersnamen (of andere verdachte gebruikersnamen).

Aanwezigheid van implant

Daarnaast is het mogelijk te controleren of aanvallers een malafide implant op het device hebben geplaatst. Maak hiervoor gebruik van het curl-commando i.c.m. onderstaande aanroep (vervang hierin DEVICEIP door het IP-adres van het device dat men wil controleren, vervang https:// door http:// indien de WebUI op HTTP is geactiveerd):

curl -k -X POST “https[:]//DEVICEIP/webui/logoutconfirm.html?logon_hash=1

Indien bovenstaand commando een hexadecimale string retourneert, is de implant zeer waarschijnlijk aanwezig en is het device gecompromitteerd. Daarnaast geeft het commando alleen een resultaat wanneer de aanvaller de webserver op het device een herstart heeft gegeven na de compromittatie.

Installatie van de implant is ook zichtbaar in de logging van het device. Controleer daarom op de aanwezigheid van logregels van het type “%WEBUI-6-INSTALL_OPERATION_INFO” om te zien of hier verdachte activiteiten terug te vinden zijn.

Communicatie vanaf verdachte IP-adressen

Volgens Cisco hebben de aanvallers gebruikgemaakt van drie verschillende IP-adressen om aanvallen uit te voeren. Communicatie vanaf deze IP-adressen vormt daarom een indicatie van mogelijk misbruik. Het betreft de IP-adressen 5.149.249[.]74, 154.53.56[.]231 en 154.53.63[.]93. Het Pinewood SOC heeft deze indicatoren opgenomen in de monitoring en heeft tevens een historische controle uitgevoerd op de logging van aangesloten SOC-klanten.

Meer informatie

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl.

===== ENGLISH =====

Description

Cisco released updates for a serious vulnerability in the WebUI feature of Cisco IOS XE Software that allows an unauthenticated remote attacker to take full control of an affected device. In addition to the previously known vulnerability (CVE-2023-20198), attackers are exploiting an additional vulnerability (CVE-2023-20273) to install a malicious implant on vulnerable devices.

Attackers have been abusing these vulnerabilities for some time, which means there is a high risk of compromise of a device that is accessible from the internet with the WebUI function enabled.

Vulnerable versions

The vulnerability is present in all devices with the following Cisco IOS XE versions:

  • 17.9.4 before 17.9.4a
  • 17.6.6 before 17.6.6a
  • 17.3.8 before 17.3.8a
  • 16.12.10 before 16.12.10a

Abuse of the vulnerability from the internet is only possible if the WebUI function is accessible from the internet, usually via port 80/tcp (HTTP) or 443/tcp (HTTPS). To determine if the WebUI is enabled for a system, run the command “show running-config | include ip http server|secure|active” to check whether either command is present in the global configuration.

If the “ip http server” command is present and the configuration also contains “ip http active-session-modules none”, the vulnerability cannot be exploited via HTTP.

If the “ip http secure-server” is present and the configuration also includes “ip http secure-active-session-modules none”, the vulnerability cannot be exploited via HTTPS.

Solutions and workarounds

Cisco has released IOS version 17.9.4a (for Routing/SDWAN and IOT) to address the CVE-2023-20198 vulnerability. We recommend installing this update on vulnerable devices as soon as possible. Cisco has indicated that it will soon also release updates for Cisco IOS XE 17.6.6, 17.3.8 and 16.12.10. We recommend monitoring its availability via the Cisco website.

In addition, it is advisable – as a best practice – to disable the WebUI or at least make it inaccessible from the internet. Disabling the WebUI is done by setting “no ip http server” and “no ip http secure-server” in global configuration mode. After disabling the HTTP server feature, use the command “copy running-configuration startup-configuration” to save the configuration.

Detection of possible misuse

New user accounts

When exploiting the vulnerabilities, attackers are known to create a range of accounts. Therefore, check the user accounts “cisco_support”, “cisco_tac_admin” or “cisco_sys_manager” have been created on vulnerable devices. It is known that in some cases the attackers deleted these accounts afterwards, so their absence is not a definitive indication that attackers have not abused this system. Therefore, also check the logging of the device for the presence of these usernames (or other suspicious usernames).

Presence of implant

In addition, it is possible to check whether attackers have placed a rogue implant on the device. To do this, use the curl command in combination with the call below (replace DEVICEIP with the IP address of the device you want to check, replace https:// with http:// if the WebUI is activated on HTTP):

curl -k -X POST “https[:]//DEVICEIP/webui/logoutconfirm.html?logon_hash=1

If the command above returns a hexadecimal string, the implant is most likely present and the device has been compromised. In addition, the command only produces a result if the attacker has restarted the web server on the device after the compromise.

Installation of the implant is also visible in the logging of the device. Therefore, check for the presence of logs of type “%WEBUI-6-INSTALL_OPERATION_INFO” to see if any suspicious activity can be found here.

Communication from suspicious IP addresses

According to Cisco, the attackers used three different IP addresses to carry out the attacks. Communication from these IP addresses is therefore an indication of possible abuse. This concerns the IP addresses 5.149.249[.]74, 154.53.56[.]231 and 154.53.63[.]93. The Pinewood SOC has added these indicators to its detection platform and also checked historical log files of its SOC customers for the presence of these indicators.

More information

Questions

For questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl