SÅRBARHETCISCO

Cisco har gått ut med information om en kritisk sårbarhet (CVE-2023-20198) i Cisco IOS XE Software som utnyttjas aktivt som en nolldagssårbarhet. Sårbarheten har en CVSS-klassning på 10,0 och bör hanteras skyndsamt av verksamheter som använder utrustning från Cisco med mjukvaran i fråga. [1]

Sårbarheten finns i webbgränssnittet i Cisco IOS XE och gör det möjligt för en oautentiserad angripare att på distans skapa ett lokalt användarkonto med administrationsbehörigheter (level 15) som kan användas för att ta kontroll över systemet.

System är sårbara om de är exponerade mot internet, har webbgränssnittet aktiverat och är åtkomliga över http eller https.

Artikeln kan komma att uppdateras.

Uppdatering 2023-10-19

CERT-SE vill särskilt trycka på vikten av att hantera sårbarheten skyndsamt. Sårbarheten utnyttjas aktivit i många länder, däribland Sverige.

CISA publicerade i juni en rekommendation om att inte exponera managementinterface mot internet. Rekommendationen kan användas som vägledning för att begränsa möjliga framtida angrepp. [3]

Uppdatering 2023-10-23

Cisco har släppt en säkerhetsuppdatering för IOS XE serien 17.9. [1]

CISA har publicerat rådgivning för att hantera sårbarheterna i Cisco IOS XE. Rådgivningen uppdateras när mer information finns. [4]

Uppdatering 2023-10-30

Talos Intelligence rekommenderar även att undersöka om det i systemet finns nyligen skapade eller oförklarliga användarkonton, vilket kan vara tecken på kompromettering. [2]

Uppdatering 2023-11-02

Cisco har släppt ytterligare en säkerhetsuppdatering, denna gång för IOS XE-serien 17.6. [1]

CISA har även uppdaterat sin rådgivning för att hantera sårbarheterna i Cisco IOS XE. [5]

Påverkade produkter

Cisco IOS XE

Rekommendationer

CERT-SE rekommenderar att följa Ciscos vägledning för hur man går tillväga för att undersöka om webbgränssnitet är aktiverat samt om det är åtkomligt via http eller https. Cisco erbjuder dessutom IOC:er för att indikera om systemet komprometterats.

CERT-SE rekommenderar vidare att installera säkerhetsuppdateringar så snart dessa blir tillgängliga. Säkerhetsuppdateringar för IOS XE serien 17.9 och 17.6 finns nu tillgängliga.[1]

Om man kan ha varit sårbar bör man även undersöka systemen för att se om man kan vara drabbad av ett intrång. Det är troligtvis inte tillräckligt att enbart söka efter möjliga bakdörrar genom att kontrollera systemen utifrån, utan en grundlig undersökning behövs.

Indikatorer på kompromettering att leta efter finns i Ciscos rådgivning, CISA:s rådgivning samt hos Cisco Talos. [1,2,4]

Det Cisco-ägda cybersäkerhetsföretaget Talos har gjort en djupare analys av sårbarheten. [2]

Källor

[1] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z

[2] https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/

[3] https://www.cisa.gov/news-events/directives/binding-operational-directive-23-02

[4] https://www.cisa.gov/guidance-addressing-cisco-ios-xe-web-ui-vulnerabilities

[5] https://www.cisa.gov/news-events/alerts/2023/10/27/cisa-updates-guidance-addressing-cisco-ios-xe-web-ui-vulnerabilities-additional-releases

Sekundärkälla: CERT.se (MSB).