CVE-2023-20198

Суть уязвимости

CVE-2023-20198 — это критическая уязвимость (CVSS 10.0), затрагивающая веб-интерфейс (Web UI) операционной системы Cisco IOS XE. Она позволяет удаленному неавторизованному злоумышленнику создать учетную запись с максимальным уровнем привилегий (level 15).

После создания такой учетной записи атакующий получает полный контроль над устройством. В ходе реальных атак данная уязвимость часто использовалась в связке с CVE-2023-20273 для внедрения вредоносного кода (импланта) на уровне файловой системы устройства.

Как исправить

Основным способом устранения является обновление программного обеспечения до версии, в которой данная проблема исправлена. Cisco выпустила соответствующие патчи для всех поддерживаемых веток IOS XE.

1. Определите текущую версию ПО:

show version

1. Загрузите исправленную версию (Software Maintenance Upgrade — SMU или полноценный образ) с официального сайта Cisco Software Central.

2. Установите обновление на устройство:

install add source tftp://<server_ip>/<image_name> activate commit

Временные меры

Если немедленное обновление невозможно, необходимо полностью отключить функцию HTTP/HTTPS сервера на устройстве. Это единственный эффективный способ предотвратить эксплуатацию уязвимости.

1. Отключите HTTP-сервер:

no ip http server

1. Отключите HTTPS-сервер:

no ip http secure-server

1. Сохраните конфигурацию:

write memory

1. Если веб-интерфейс необходим для работы, ограничьте доступ к нему с помощью списков контроля доступа (ACL), разрешив подключения только с доверенных IP-адресов администраторов:

ip http access-class <ACL_NUMBER_OR_NAME>

1. Проверьте устройство на наличие признаков компрометации (неизвестные пользователи с privilege 15):

show run | inc username

И проверьте наличие подозрительных файлов в системных директориях:

dir system:/