2023-2521: Cisco IOS XE: Zwei Schwachstellen ermöglichen das Erlangen von Administratorrechten

Historie:

Version 1 (2023-10-17 09:48): Neues Advisory
Version 2 (2023-10-17 19:47): Cisco Talos empfiehlt potenziell betroffenen Organisationen dringend ihre Geräte auf eine mögliche Ausnutzung zu prüfen und liefert in einem Blog-Beitrag weitere Details zum Angriffsszenario. Unter anderem deutet ein Implantat bestehend aus einer Konfigurationsdatei ('cisco_service.conf') auf eine Kompromittierung hin. Mit dem folgenden Kommando kann auf die Anwesenheit des Implantats geprüft werden, wobei 'systemip' die IP-Adresse des zu prüfenden Gerätes ist: curl -k -X POST "https://systemip/webui/logoutconfirm.html?logon_hash=1" Wenn eine hexadezimale Zeichenfolge zurückgegeben wird, liegt das Implantat vor. Falls das System ausschließlich für HTTP-Zugriff konfiguriert ist, muss das Kommando entsprechend abgeändert werden.
Version 3 (2023-10-23 15:05): Cisco hat den Sicherheitshinweis aktualisiert. Die Schwachstelle CVE-2023-20273 wurde hinzugefügt und die Abschnitte 'Summary', 'Affected Products', 'Details', 'Indicators of Compromise', 'Workarounds', 'Recommendations' und 'Fixed Software' wurden angepasst und erweitert. Dieses Advisory wurde ebenfalls entsprechend angepasst. Die Schwachstelle CVE-2023-20273 erlaubt das Erlangen von 'root'-Rechten sowie die Installation des bösartigen Implantats auf einem betroffenen Gerät. Cisco stellt ab sofort ein Sicherheitsupdate mit der Versionsnummer 17.9.4a zur Verfügung. Weitere Sicherheitsupdates mit den Versionsnummern 17.6.6a, 17.3.8a und 16.12.10a sind in Planung.
Version 4 (2023-10-24 15:05): Die CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY (CISA) hat die Schwachstelle CVE-2023-20273 ebenfalls in ihren 'Known Exploited Vulnerabilities Catalog' aufgenommen und weist nochmals daraufhin, dass diese erst in der Verkettung mit CVE-2023-20198 dem Angreifer ermöglicht, das durch Ausnutzung von CVE-2023-20198 erlangte neue lokale Benutzerkonto zu nutzen, um die Privilegien auf 'root' zu erweitern und das Implantat in das Dateisystem zu schreiben. Zuletzt wurde von Sicherheitsforschern berichtet, dass die Detektionsrate des Implantats rapide um eine Größenordnung gesunken war, was auf eine mögliche Abwandlung des Implantats durch die Angreifer zurückgeführt wurde. Der Hersteller Cisco hat daraufhin den Sicherheitshinweis in den Abschnitten 'Zusammenfassung' und 'Indicators of Compromise' erneut aktualisiert, um auf die Verfügbarkeit einer verbesserten Detektion hinzuweisen bzw. das entsprechend angepasste Kommando bereitzustellen.
Version 5 (2023-10-26 10:56): Der Hersteller hat den Sicherheitshinweis erneut aktualisiert, um auf die Verfügbarkeit von Software Maintenance Upgrade (SMU) zur Behebung der Schwachstellen hinzuweisen.
Version 6 (2023-10-27 13:52): Der Hersteller hat den Sicherheitshinweis hinsichtlich der Angabe nicht verwundbarer Produkte aktualisiert; Adaptive Security Appliance (ASA) Software, Firepower Threat Defense (FTD) Software, IOS Software, IOS XE Software vor Release 16 und NX-OS Software sollen nicht angreifbar sein. Außerdem wurde die Tabelle der Software Maintenance Upgrade (SMU) aktualisiert.
Version 7 (2023-10-30 10:27): Der Hersteller Cisco hat den Sicherheitshinweis hinsichtlich der Angabe fehlerbereinigter Version und verfügbarer Software Maintenance Upgrades (SMU) aktualisiert. Nach einem Sicherheitsupdate in Form der Cisco IOS XE Version 17.9.4a stehen nun auch die Versionen 17.6.6a, 17.3.8a und 16.12.10a als Sicherheitsupdates zur Verfügung.
Version 8 (2023-11-01 13:34): Laut Sicherheitsforschern der Firma Horizon3, die in Zusammenarbeit mit dem "Secuinfra Falcon Team" Angriffsversuche mittels eines 'Honey Pots' aufgezeichnet und analysiert haben, beruht die Schwachstelle in Cisco IOS XE auf einem Logikfehler im Webserver, der bestimmte URL-Pfade mit einem Zugriffsschutz versieht. Dadurch kann ein alt bekannter Encoding-Trick angewandt werden. Offenbar sind hunderte Geräte bereits mit einer Hintertür infiziert. Der Hersteller Cisco hat den Sicherheitshinweis nochmals hinsichtlich der Verfügbarkeit fehlerbereinigter Versionen und von Software Maintenance Upgrades (SMU) aktualisiert; demnach steht Cisco IOS XE Version 16.12.10a nur für Catalyst 3650 und 3850 als Sicherheitsupdate zur Verfügung, für alle unterstützten Versionszweige sind zudem SMUs verfügbar.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Cisco

Beschreibung:

Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um betroffene Systeme vollständig zu kompromittieren. Die Schwachstellen betreffen Cisco IOS XE, wenn die Weboberfläche aktiviert und über das Internet oder nicht vertrauenswürdige Netze erreichbar ist.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.

Die CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY (CISA) hat die Schwachstelle CVE-2023-20198 ebenfalls in ihren 'Known Exploited Vulnerabilities Catalog' aufgenommen, da diese bereits aktiv ausgenutzt wird.

Cisco empfiehlt übergangsweise die Deaktivierung der HTTP-Server-Funktionalität auf allen Geräten aus eigener Herstellung, die aus dem Internet erreichbar sind, solange keine Sicherheitsupdates eingespielt wurden. Zur Detektion bereits kompromittierter Systemen stellt Cisco im Sicherheitshinweis 'Indicators of compromise' zur Verfügung.

Schwachstellen:

CVE-2023-20198

Schwachstelle in Cisco IOS XE ermöglicht Erlangen von Administratorrechten

CVE-2023-20273