發現Cisco IOS XE的Web管理用戶界面漏洞在野利用

概述

思科發現，當暴露于互聯網或不受信任的網絡時，Cisco IOS XE 軟件 (CVE-2023-20198) 的 Web 用戶界面 (Web UI) 功能中的一個先前未知的漏洞會被主動利用。這會影響運行 Cisco IOS XE 軟件且啟用了 HTTP 或 HTTPS 服務器功能的物理和虛擬設備。 

成功利用此漏洞允許攻擊者在受影響的設備上創建具有 15 級訪問權限的帳戶，從而有效地授予他們對受感染設備的完全控制權，并允許后續可能的未經授權的活動。 

思科于 2023 年 9 月 28 日發現了潛在惡意活動的早期證據，當時向思科技術支持中心 (TAC) 立案，發現客戶設備上存在異常行為。經過進一步調查，早在 9 月 18 日就觀察到了相關活動。該活動包括授權用戶通過可疑 IP 地址 (5.149.249[.]74) 以用戶名“cisco_tac_admin”創建本地用戶帳戶）。此活動于 10 月 1 日結束，當時除了創建可疑帳戶外，思科沒有觀察到任何其他相關行為。 

10 月 12 日，思科 Talos 事件響應和TAC 檢測到后來確定為同一天開始的另一組相關活動。在此集群中，觀察到未經授權的用戶從第二個可疑 IP 地址 (154.53.56[.]231) 以“cisco_support”名稱創建本地用戶帳戶。與 9 月份的案例不同，這次 10 月份的活動包括多項后續行動，包括部署由配置文件（“cisco_service.conf”）組成的植入程序。配置文件定義了用于與植入程序交互的新 Web 服務器端點（URI 路徑）。該端點接收某些參數（下面將更詳細地描述），這些參數允許參與者在系統級別或 IOS 級別執行任意命令。為了使植入程序生效，必須重新啟動網絡服務器；在至少一個觀察到的案例中，服務器沒有重新啟動，因此盡管安裝了植入程序，但它從未激活。

植入程序保存在文件路徑“/usr/binos/conf/nginx-conf/cisco_service.conf”下，其中包含兩個由十六進制字符組成的變量字符串。植入程序不是持久性的，這意味著設備重新啟動會將其刪除，但新創建的本地用戶帳戶即使在系統重新啟動后仍然保持活動狀態。新用戶帳戶具有 15 級權限，這意味著他們擁有設備的完全管理員訪問權限。這種對設備的特權訪問以及隨后創建的新用戶被跟蹤為 CVE-2023-20198。

思科評估這些活動集群很可能是由同一參與者執行的。兩個集群看起來很接近，十月份的活動似乎是在九月份活動的基礎上建立的。第一個集群可能是攻擊者的最初嘗試并測試他們的代碼，而 10 月份的活動似乎表明攻擊者擴展了他們的操作，包括通過部署植入程序建立持久訪問。

植入代碼分析

該植入程序基于Lua編程語言，由29行代碼組成，可方便執行任意命令。攻擊者必須向設備創建 HTTP POST 請求，該請求提供以下三個功能（圖 1）：

第一個函數由“menu”參數指定，該參數必須存在且必須非空。這將返回一串由正斜杠包圍的數字，思科懷疑這可能代表植入程序的版本或安裝日期。

第二個函數由“logon_hash”參數決定，該參數必須設置為“1”。這將返回一個 18 個字符的十六進制字符串，該字符串被硬編碼到植入程序中。

第三個函數也由“logon_hash”參數決定，該參數檢查參數是否與硬編碼到植入程序中的 40 個字符的十六進制字符串匹配。這里使用的第二個參數是“common_type”，它必須是非空的，其值決定代碼是在系統級別還是在IOS級別執行。如果代碼在系統級別執行，則該參數必須設置為“subsystem”，如果在IOS級別執行，則該參數必須設置為“iox”。IOX 命令在特權級別 15 上執行。

在大多數情況下，思科觀察到安裝了此植入程序，第二個函數中的 18 個字符的十六進制字符串和第三個函數中的 40 個字符的十六進制字符串都是唯一的，盡管在某些情況下，這些字符串在不同的設備上是相同的。這表明參與者有一種方法可以根據第二個函數返回的值計算第三個函數中使用的值，充當第三個函數中提供的任意命令執行所需的身份驗證形式。 

指導和緩解

思科強烈建議可能受此活動影響的組織立即實施思科產品安全事件響應團隊通報中概述的指南。

組織應在設備上尋找原因不明或新創建的用戶，作為與此威脅相關的潛在惡意活動的證據。識別植入是否存在的一種方法是對設備運行以下命令，其中“DEVICEIP”部分是要檢查的設備的 IP 地址的占位符： 

curl -k -X POST "https[:]//DEVICEIP/webui/logoutconfirm.html?logon_hash=1"

注意：如果設備僅配置為不安全的 Web 界面，則上述檢查應使用 HTTP 方案。