CSIRT Panamá Aviso 2023-10-16 Cisco IOS XE – Vulnerabilidad de escalada de privilegios.

TOPICS:

Posted By: CSIRT Panamá October 16, 2023

CSIRT Panamá Aviso 2023-10-16 Cisco IOS XE – Vulnerabilidad de escalada de privilegios.

Gravedad: Critica

Fecha de publicación: 16 de octubre de 2023

Fecha de modificación: 16 de octubre de 2023

Última revisión: Revisión B.

Fuente: sec.cloudapps.cisco.com

Sistemas afectados

  • IOS XE

I. Descripción

Cisco tiene conocimiento de la vulnerabilidad que afecta la interface de usuario web del software Cisco IOS XE que son expuestos al internet o redes que no son de confianza y puede permitir la creación de cuenta no autorizada y escalar privilegios. Cisco recomienda cerrar los servicios http, para evitar el vector de ataque y verifica si mantiene indicadores de compromiso.

Se les exhorta a revisar los enlaces en la sección III de referencias, para aplicar las acciones recomendadas del fabricante.

Ejemplo de verificación de configuración activa del servicio HTTP:

Router# show running-config | include ip http server|secure|active
ip http server
ip http secure-server

Nota: La presencia de uno o ambos comandos en la configuración del sistema indica que la función de interfaz de usuario web está habilitada.

Verificación por posible compromiso

Verificar en los registros del sistema para detectar por cuentas no autorizadas donde el usuario puede ser por ejemplo cisco_tac_admin , cisco_support, etc.

Cisco Talos ha proporcionado el siguiente comando para verificar la presencia del implante de archivo no autorizado donde systemip es la dirección IP del sistema a verificar. Este comando debe emitirse desde una estación de trabajo con acceso al sistema en cuestión:

curl -k -X POST “https:// systemip /webui/logoutconfirm.html?logon_hash=1″

Si la solicitud devuelve una cadena hexadecimal, el implante está presente.

Nota: si el sistema está configurado para acceso HTTP únicamente, utilice el esquema HTTP en el ejemplo de comando.

Los siguientes ID de reglas de Snort también están disponibles para detectar explotación:

  • 3:50118:2 ? puede alertar sobre la inyección inicial del implante
  • 3:62527:1 ? puede alertar sobre la interacción del implante
  • 3:62528:1? puede alertar sobre la interacción del implante
  • 3:62529:1 ? puede alertar sobre la interacción del implante

Recomendaciones

Cisco recomienda encarecidamente que los clientes desactiven la función del servidor HTTP en todos los sistemas con acceso a Internet. Para deshabilitar la función del servidor HTTP, use el comando no ip http server o no ip http Secure-server en el modo de configuración global. Si se utilizan tanto el servidor HTTP como el servidor HTTPS, se requieren ambos comandos para desactivar la función del servidor HTTP.

Después de deshabilitar la función del servidor HTTP, use el comando copy running-configuration startup-configuration para guardar la configuración en ejecución. Esto garantizará que la función del servidor HTTP no se habilite inesperadamente en caso de una recarga del sistema.

II. Impacto

Complejidad de Acceso: Media a Alta

Autenticación: No requerida para explotarla.

Tipo de impacto: Compromiso parcial o total del sistema.

III. Referencia a soluciones, herramientas e información

  1. https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z#REC

IV. Información de contacto

CSIRT PANAMA

Autoridad Nacional para la Innovación Gubernamental

E-Mail: info@cert.pa

Web:   http://www.cert.pa