CVE-2023-20273

Cisco Cisco IOS XE Web UI

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2023-10-23

Официальное описание

Cisco IOS XE contains a command injection vulnerability in the web user interface. When chained with CVE-2023-20198, the attacker can leverage the new local user to elevate privilege to root and write the implant to the file system. Cisco identified CVE-2023-20273 as the vulnerability exploited to deploy the implant. CVE-2021-1435, previously associated with the exploitation events, is no longer believed to be related to this activity.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-20273 представляет собой критическую уязвимость типа Command Injection (инъекция команд) в веб-интерфейсе (Web UI) операционной системы Cisco IOS XE. Данная брешь используется злоумышленниками в цепочке с CVE-2023-20198.

Сценарий атаки выглядит следующим образом: 1. Эксплуатация CVE-2023-20198 позволяет неавторизованному удаленному пользователю создать локальную учетную запись с уровнем привилегий 15. 2. Используя созданную учетную запись, атакующий эксплуатирует CVE-2023-20273 для внедрения произвольных команд с правами root. 3. Это позволяет обойти ограничения операционной системы и записать вредоносный имплант (бэкдор) непосредственно в файловую систему устройства для закрепления в сети.

Как исправить

Основным и единственным надежным способом устранения уязвимости является обновление программного обеспечения Cisco IOS XE до версии, в которой данная проблема исправлена.

  1. Определите текущую версию ПО:
show version
  1. Проверьте наличие обновлений на официальном портале Cisco Software Central. Исправления включены в следующие релизы (и более новые):
  2. Cisco IOS XE 17.9.4a
  3. Cisco IOS XE 17.6.6a
  4. Cisco IOS XE 17.3.8a

  5. Cisco IOS XE 16.12.10a

  6. Выполните установку соответствующего .bin образа через CLI:

install add source tftp://<server_ip>/<image_name>.bin activate commit

Временные меры

Если немедленное обновление невозможно, необходимо полностью исключить вектор атаки, отключив функцию HTTP Server.

  1. Отключите функции HTTP и HTTPS сервера:
no ip http server
no ip http secure-server
  1. Если веб-интерфейс необходим для работы, ограничьте доступ к нему с помощью списков контроля доступа (ACL), разрешив подключения только с доверенных IP-адресов администраторов:
ip http access-class <ACL_NUMBER_OR_NAME>
  1. Проверьте устройство на наличие признаков компрометации (поиск необычных локальных пользователей):
show run | inc username
  1. Проверьте наличие файлов импланта в файловой системе (в некоторых случаях помогает проверка системных логов на наличие специфических POST-запросов к веб-интерфейсу):
dir all-filesystems | include .sh

Примечание: Отключение HTTP-сервера предотвращает эксплуатацию всей цепочки уязвимостей, так как атакующий теряет доступ к уязвимому компоненту Web UI.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей