近日,某厂商披露 IOS XE Web UI相关的高危零日漏洞(CVE-2023-20198和CVE-2023-20273)。攻击者可以利用这些漏洞远程未授权地创建系统用户,进而执行恶意注入攻击。华为安全未然实验室秉承“安全需防患于未然”的安全理念,第一时间对漏洞利用攻击进行响应处置,目前已完成IPS签名库的更新。华为安全网关类产品升级最新的IPS签名库后,支持对该事件中的漏洞利用攻击进行查杀。
IOS XE是某厂商为其网络设备开发的操作维护系统,IOS XE Web UI是一种基于GUI(Graphical User Interface,图形用户界面)的嵌入式系统管理工具,提供了配置系统、简化系统部署、可管理性以及提升用户体验的功能。为了确保安全性,Web UI和管理服务不应该在互联网或不受信任的网络上暴露。
近日,华为安全未然实验室感知到该厂商披露的其产品 IOS XE Web UI相关漏洞(CVE-2023-20198、CVE-2023-20273)。这些漏洞的相关信息如图1-1所示。根据漏洞描述可知,当该厂商的产品IOS XE软件Web UI暴露于互联网或不受信任的网络时,远程攻击者可以通过向服务器发送恶意请求的方式来利用此漏洞。如果漏洞被成功利用,攻击者可以远程未授权创建系统用户,进而执行恶意命令注入攻击。
鉴于此漏洞的危害严重且影响范围较大,建议广大用户及时参考厂商提供的解决方案进行风险排查和防护,避免遭受黑客的攻击。
图1-1 IOS XE软件Web UI漏洞概述
根据披露信息[2]分析,当前漏洞及攻击利用主要步骤如图1-2所示。
图1-2 XXX IOS XE Web UI漏洞及攻击利用主要步骤
具体漏洞利用过程如下:
通过利用CVE-2023-20198漏洞,未经身份验证的远程攻击者可以在受影响的系统上创建一个具有15级特权访问权限的本地用户账号。该账号具备命令的完全访问权限,包括重新加载系统和配置更改。这使得攻击者能够以管理员权限访问设备,并使用该账号来控制受影响系统。
攻击者获取本地账号后,利用 Web UI功能的另一个未知漏洞(CVE-2023-20273)植入攻击程序,并将其保存在配置文件{service conf}路径下。该漏洞是由于未正确验证输入而产生,经过身份认证的远程攻击者可以利用该漏洞通过发送构造的请求以root权限注入命令。
上述植入配置文件的程序定义了用于与植入程序交互的Web接口路径以及该接口接收参数。攻击者利用该接口在系统级别或IOS级别执行任意命令。要使植入程序生效,必须重新启动服务。然而,根据厂商的报告,在他们观察到的情况下,服务并没有重新启动,这意味着植入程序虽然已经安装,但从未激活。
恶意程序注入到相关路径后,就可以检查注入是否有效。根据注入时的配置路径参数进行访问,下面是当前厂商报告[2]中提供的案例路径:
此外,厂商提供了最新的变种,可以通过curl -k “https[:]//{device IP}/%25”来识别系统是否被注入,而无需与注入程序的核心功能进行交互。
1. 部署华为解决方案
在感知到该漏洞信息后,华为安全未然实验室的安全研究人员持续关注此漏洞的相关信息,成功复现了漏洞PoC(Proof-of-Concept,概念验证),并立即开发IPS防护签名。目前,最新的IPS签名库(如图1-3所示)已推送到华为安全智能中心网站,以供客户升级使用。
图1-3 华为IPS签名库
以华为防火墙为例,华为安全网关类产品针对该漏洞的防护效果如图1-4所示。
图1-4 华为防火墙针对该漏洞的防护效果
2. 及时做产品安全加固,下载安装厂商官方补丁
建议受影响的客户参考厂商官方的排查和加固方案[1][2]进行自查和加固。同时,随时关注厂商官网的信息和补丁公告。
参考链接
[1]:https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z
[2] :
https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/
往期推荐
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...