آسیب‌پذیری بحرانی افزایش سطح دسترسی Cisco IOS XE

سیسکو از یک آسیب‌پذیری فعال با امتیاز ۱۰ در اینترفیس وب نرم‌افزار Cisco IOS XE در هنگام قرار گرفتن در معرض اینترنت یا شبکه‌های غیرقابل‌اعتماد آگاه است.

این آسیب‌پذیری به مهاجم از راه دور و احراز هویت نشده اجازه می‌دهد تا یک حساب کاربری در یک سیستم آسیب‌دیده با دسترسی سطح ۱۵ ایجاد کند. سپس مهاجم می‌تواند از آن حساب برای به دست آوردن کنترل سیستم آسیب‌دیده استفاده کند.

سیسکو در حال تحقیقات بیشتر بر روی این آسیب‌پذیری و ارائه پچ برای آن می‌باشد و به‌محض حصول نتیجه، اطلاع‌رسانی خواهد کرد.

محصولات تحت تأثیر

اگر اینترفیس تحت وب فعال باشد، این آسیب‌پذیری بر روی نرم‌افزار Cisco IOS XE تأثیر می‌گذارد. اینترفیس تحت وب از طریق دستورات  ip http secure-server یا ip http server  فعال می‌شود.

تعیین پیکربندی سرور HTTP

برای آگاهی از اینکه آیا ویژگی HTTP Server برای یک سیستم فعال است یا خیر، وارد سیستم شوید و از show running-config | دستور ip http server|secure|active را در CLI وارد کنید تا وجود دستور ip http server یا دستور ip http secure-server را در پیکربندی کلی بررسی کنید. اگر هر یک از دستورات وجود داشته باشد، ویژگی HTTP Server برای سیستم فعال می‌باشد.

مثال زیر خروجی show running-config | را نشان می‌دهد شامل دستور ip http server|secure|active برای سیستمی که ویژگی HTTP Server را فعال کرده است:

Router# show running-config | include ip http server|secure|active
ip http server
ip http secure-server

توجه: وجود یکی از دستورات یا هر دو دستور در پیکربندی سیستم نشان می‌دهد که ویژگی وب UI فعال است.

اگر دستور سرور ip http وجود داشته باشد و پیکربندی شامل ip http active-session-modules none باشد، آسیب‌پذیری از طریق HTTP قابل سوءاستفاده نیست.
اگر دستور ip http secure-server وجود داشته باشد و پیکربندی نیز شامل ip http secure-active-session-modules none باشد، آسیب‌پذیری قابل سوءاستفاده از طریق HTTPS نیست.

رابط کاربری وب یک ابزار مدیریت سیستم مبتنی بر رابط کاربری گرافیکی تعبیه‌شده است که توانایی ارائه سیستم، ساده‌سازی استقرار و مدیریت سیستم و بهبود تجربه کاربر را فراهم می‌کند. و با تصویر پیش‌فرض همراه است، بنابراین نیازی به فعال کردن چیزی یا نصب لایسنس روی سیستم نیست. رابط کاربری وب را می‌توان برای ایجاد تنظیمات و همچنین برای نظارت و عیب‌یابی سیستم بدون تخصص CLI استفاده کرد.

همچنین رابط کاربری وب و خدمات مدیریتی نباید در معرض اینترنت یا شبکه‌های غیر ایمن گیرند.

شاخص‌های سازش

برای تعیین اینکه آیا یک سیستم ممکن است به خطر افتاده باشد، بررسی‌های زیر را انجام دهید:

گزارش‌های سیستم را برای وجود هر یک از پیام‌های گزارش زیر بررسی کنید:

user اشاره‌شده در زیر می‌تواند cisco_tac_admin، cisco_support یا هر کاربر محلی پیکربندی‌شده‌ای که برای مدیر شبکه ناشناخته است باشد:

%SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as user on line

%SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: user] [Source: source_IP_address] at 03:42:13 UTC Wed Oct 11 2023

پیام %SYS-5-CONFIG_P برای هر نمونه‌ای که کاربر به رابط کاربری وب دسترسی داشته باشد وجود خواهد داشت. شاخصی که باید جستجو کنید، نام های کاربری جدید یا ناشناخته موجود در پیام است.

گزارش‌های سیستم را برای پیام زیر بررسی کنید که در آن filename یک نام فایل ناشناخته و غیر مرتبط با دستگاه شما می‌باشد:

%WEBUI-6-INSTALL_OPERATION_INFO: User: username, Install Operation: ADD filename

Cisco Talos دستور زیر را برای بررسی وجود implant ارائه کرده است که در آن systemip آدرس IP سیستم برای بررسی است. این دستور باید از یک ایستگاه کاری با دسترسی به سیستم موردنظر اجرا شود:

curl -k -X POST “https://systemip/webui/logoutconfirm.html?logon_hash=1”
اگر درخواست یک‌رشته hexadecimal را برگرداند، implant وجود دارد.

نکته: اگر سیستم فقط برای دسترسی HTTP پیکربندی‌شده است، از HTTP در مثال اشاره‌شده استفاده کنید.
بر اساس شناسایی و تشخیص آلودگی از رول‌های زیر که در snort وجود دارد می‌توان استفاده کرد:

۳:۵۰۱۱۸:۲ – می‌تواند برای تزریق اولیه implant هشدار دهد.
۳:۶۲۵۲۷:۱ – می‌تواند برای تعامل implant هشدار دهد.
۳:۶۲۵۲۸:۱ – می‌تواند برای تعامل implant هشدار دهد.
۳:۶۲۵۲۹:۱ – می‌تواند برای تعامل implant هشدار دهد.

راه‌حل‌ها

هیچ راه‌حلی برای رفع این آسیب‌پذیری وجود ندارد.

توصیه‌ها

سیسکو اکیداً توصیه می‌کند که مشتریان ویژگی HTTP Server را در تمام سیستم‌های متصل به اینترنت غیرفعال کنند. برای غیرفعال کردن ویژگی HTTP Server، از دستور no ip http server یا no ip http secure-server در حالت پیکربندی جهانی استفاده کنید. اگر هم سرور HTTP و هم سرور HTTPS در حال استفاده هستند، برای غیرفعال کردن ویژگی HTTP Server هر دو دستور لازم است.

درختواره زیر می‌تواند برای کمک به تعیین نحوه تریاژ یک محیط و استقرار حفاظت‌ها استفاده شود:

. آیا از IOS XE استفاده می‌کنید؟
. خیر: سیستم آسیب‌پذیر نیست. هیچ اقدام دیگری لازم نیست.
. بله: آیا سرور ip http یا سرور ip http امن پیکربندی‌شده است؟
. خیر: این آسیب‌پذیری قابل بهره‌برداری نیست. هیچ اقدام دیگری لازم نیست.
. بله: آیا خدماتی را اجرا می‌کنید که نیاز به ارتباط HTTP/HTTPS دارند (به‌عنوان‌مثال، eWLC)؟
. خیر: ویژگی HTTP Server را غیرفعال کنید.
. بله: در صورت امکان، دسترسی به آن خدمات را به شبکه‌های قابل‌اعتماد محدود کنید.

ما با اطمینان بالا، بر اساس درک بیشتر exploit، ارزیابی می‌کنیم که Access List اعمال‌شده به ویژگی سرور HTTP برای محدود کردن دسترسی از سرورها و شبکه‌های غیرقابل‌اعتماد، یک اقدام مؤثر می‌باشد.

هنگام اجرای Access List برای این سرویس‌ها، حتماً کنترل‌ها را مرور کنید زیرا احتمال ایجاد وقفه در محیط‌های غیر لابراتواری وجود دارد. اگر از این مراحل مطمئن نیستید، با سازمان پشتیبانی خود برای تعیین اقدامات کنترلی مناسب همکاری کنید.

پس از اعمال هر تغییری، از دستور copy running-configuration startup-configuration برای ذخیره تنظیمات run استفاده کنید. این تضمین می‌کند که در صورت بارگذاری مجدد سیستم، تغییرات برگردانده نمی‌شوند.

منبع

مطالب مرتبط

آسیب‌پذیری بحرانی و فعال libwebp – CVE-2023-5129

Cisco پچ فوری برای رفع آسیب‌پذیری حیاتی در سیستم‌های پاسخگویی اضطراری منتشر کرد.

میلیون‌ها سرور ایمیل Exim در معرض حملات روز صفر RCE قرار گرفتند.