{"id":287049,"date":"2023-10-17T13:11:25","date_gmt":"2023-10-17T11:11:25","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=287049"},"modified":"2023-10-21T23:50:30","modified_gmt":"2023-10-21T21:50:30","slug":"cisco-warnt-vor-bereits-ausgenutzter-0-day-schwachstelle-cve-2023-20198-in-ios-xe-16-oktober-2023","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/10\/17\/cisco-warnt-vor-bereits-ausgenutzter-0-day-schwachstelle-cve-2023-20198-in-ios-xe-16-oktober-2023\/","title":{"rendered":"Cisco warnt vor bereits ausgenutzter 0-day-Schwachstelle (CVE-2023-20198) in IOS XE (16. Oktober 2023)"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Der US-Anbieter Cisco hat zum 16. Oktober 2023 eine 0-day-Schwachstelle in IOS XE \u00f6ffentlich gemacht, die eine Privilegien-Erweiterung \u00fcber die Web UI erm\u00f6glicht. Bisher gibt es keinen Sicherheitsfix – und in einem Statement musste Cisco eingestehen, dass die Schwachstelle bereits in freier Wildbahn ausgenutzt wird. Update:<\/strong> Es sind wohl Tausende IOS XE-Instanzen in einer Angriffswelle kompromittiert worden.<\/p>\n

<\/p>\n

Schwachstelle CVE-2023-20198<\/h2>\n

\"\"In der Sicherheitswarnung Cisco IOS XE Software Web UI Privilege Escalation Vulnerability<\/a> best\u00e4tigt Cisco die aktive Ausnutzung einer bisher unbekannten Schwachstelle (CVE-2023-20198) in der Web-UI-Funktion der Cisco IOS XE Software.<\/p>\n

Die Web-UI ist ein eingebettetes GUI-basiertes Systemverwaltungstool, zur Bereitstellung und Verwaltung der betreffenden Cisco-Komponenten. Die Web-UI wird mit dem Standard-Image ausgeliefert, und braucht nicht aktiviert zu werden. Die Web-UI wird zur Erstellung von Konfigurationen sowie zur \u00dcberwachung und Fehlerbehebung des Systems ohne CLI-Kenntnisse verwendet, sollte aber nicht per Internet oder aus nicht vertrauensw\u00fcrdigen Netzwerken erreichbar sein.<\/p><\/blockquote>\n

Ist diese Web-UI-Funktion aus dem Internet oder einem nicht vertrauensw\u00fcrdigen Netzwerken erreichbar, besteht ein h\u00f6chstes Risiko. Denn diese Schwachstelle erm\u00f6glicht es einem Remote-Angreifer ohne Authentifizierung auf einem betroffenen System ein Konto mit Zugriffsrechten der Stufe 15 zu erstellen. Der Angreifer kann dann dieses Konto verwenden, um die Kontrolle \u00fcber das betroffene System zu erlangen.,<\/p>\n

Diese Sicherheitsl\u00fccke betrifft die Cisco IOS XE Software, wenn die Web UI Funktion aktiviert ist. Die Web-UI-Funktion wird \u00fcber die Befehle ip http server<\/em> oder ip http secure-server<\/em> aktiviert. In der Sicherheitswarnung gibt Cisco Hinweise, wie man pr\u00fcfen kann, ob die Web UI aktiviert ist und welche Indicators of Compromise (IoCs) es gibt.<\/p>\n

Aktuell gibt es keinen Patch und keinen Workaround. Auf Systemen, die per Internet erreichbar sind, empfiehlt Cisco die HTTP-Server-Funktion zu deaktivieren. Dazu sind die Befehle no ip http server <\/em>oder no ip http secure-server <\/em>im globalen Konfigurationsmodus zu verwenden. Wenn sowohl der HTTP-Server als auch der HTTPS-Server verwendet werden, sind beide Befehle erforderlich, um die HTTP-Server-Funktion zu deaktivieren.<\/p>\n

Talos warnt vor Ausnutzung von CVE-2023-20198<\/h2>\n

Sicherheitsforscher von Cisco Talos habe zum 16. Oktober 2023 den Beitrag Active exploitation of Cisco IOS XE Software Web Management User Interface vulnerability<\/a> ver\u00f6ffentlicht. Dort best\u00e4tigt man, dass Cisco eine aktive Ausnutzung einer bisher unbekannten Schwachstelle in der Web User Interface (Web UI)-Funktion der Cisco IOS XE-Software (CVE-2023-20198) festgestellt habe, wenn diese dem Internet oder nicht vertrauensw\u00fcrdigen Netzwerken ausgesetzt ist.<\/p>\n

Betroffen sind sowohl physische als auch virtuelle Ger\u00e4te, auf denen die Cisco IOS XE-Software l\u00e4uft und auf denen auch die HTTP- oder HTTPS-Serverfunktion aktiviert ist. Erste Hinweise auf potenziell b\u00f6sartige Aktivit\u00e4ten ergaben sich am 28. September 2023. Beim Technical Assistance Center (TAC) von Cisco wurde ein Fall er\u00f6ffnet, weil ein ungew\u00f6hnliches Verhalten auf einem Kundenger\u00e4t festgestellt wurde. Bei weiteren Untersuchungen haben die Sicherheitsforscher bereits am 18. September Aktivit\u00e4ten beobachtet, die als zusammenh\u00e4ngend eingestuft wurden.<\/p>\n

Zu diesen Aktivit\u00e4ten geh\u00f6rte, dass ein autorisierter Benutzer ein lokales Benutzerkonto unter dem Benutzernamen \"cisco_tac_admin\" von einer verd\u00e4chtigen IP-Adresse (5.149.249[.]74) aus anlegte. Diese Aktivit\u00e4t endete am 1. Oktober, und die Sicherheitsforscher haben zu diesem Zeitpunkt au\u00dfer der verd\u00e4chtigen Kontoerstellung kein weiteres damit verbundenes Verhalten beobachtet.<\/p>\n

Am 12. Oktober entdeckten Cisco Talos Incident Response (Talos IR) und TAC eine weitere Gruppe verwandter Aktivit\u00e4ten, die am selben Tag begannen, wie sp\u00e4ter festgestellt wurde. In diesem Cluster wurde ein unbefugter Benutzer dabei beobachtet, wie er von einer zweiten verd\u00e4chtigen IP-Adresse (154.53.56[.]231) ein lokales Benutzerkonto unter dem Namen \"cisco_support\" anlegte.<\/p>\n

Im Gegensatz zum Fall aus dem September umfasste diese Aktivit\u00e4t im Oktober 2023 mehrere nachfolgende Aktionen. Dazu geh\u00f6rte auch die Bereitstellung eines Implantats, das aus einer Konfigurationsdatei (\"cisco_service.conf\") besteht. Die Konfigurationsdatei definiert den neuen Webserver-Endpunkt (URI-Pfad), der f\u00fcr die Interaktion mit dem Implantat verwendet wird.<\/p>\n

Dieser Endpunkt erh\u00e4lt bestimmte Parameter, die im Talos-Beitrag n\u00e4her beschrieben werden und es dem Akteur erm\u00f6glichen, beliebige Befehle auf der System- oder IOS-Ebene auszuf\u00fchren. Damit das Implantat aktiv wird, muss der Webserver neu gestartet werden; in mindestens einem beobachteten Fall wurde der Server nicht neu gestartet, so dass das Implantat trotz Installation nie aktiv wurde.<\/p>\n

Das Implantat wird unter dem Dateipfad \"\/usr\/binos\/conf\/nginx-conf\/cisco_service.conf\" gespeichert, und enth\u00e4lt zwei variable – aus hexadezimalen Zeichen bestehende – Zeichenfolgen. Das Implantat wird bei einem Neustart des Ger\u00e4ts entfernt, aber die neu erstellten lokalen Benutzerkonten bleiben auch nach einem Neustart des Systems aktiv. Die neuen Benutzerkonten haben die Berechtigungsstufe 15, d. h. sie haben vollen Administratorzugriff auf das Ger\u00e4t. Weitere Details sind den verlinkten Beitr\u00e4gen von Cisco und Cisco Talos zu entnehmen.<\/p>\n

Tausende Systeme kompromittiert<\/h2>\n

Update:<\/strong> Es sind wohl Tausende IOS XE-Instanzen in einer Angriffswelle kompromittiert worden. Die Kollegen von Bleeping Computer haben diese Information in ihrem Beitrag Over 10,000 Cisco devices hacked in IOS XE zero-day attacks<\/a> ver\u00f6ffentlicht. Demnach haben Angreifer den oben skizzierten kritischen Zero-Day-Bug ausgenutzt, um mehr als 10.000 Cisco IOS XE-Ger\u00e4te mit b\u00f6sartigen Implantaten zu infizieren. Jacob Baines, CTO von VulnCheck, hat das Ganze in diesem Blog-Beitrag<\/a> aufgedeckt.<\/p>\n

Jacob Baines wirft Cisco vor, nicht erw\u00e4hnt zu haben, dass Tausende von IOS XE-Systemen, die per Internet erreichbar waren, mit Implantaten versehen zu haben. Das sei eine schlimme Situation, da privilegierter Zugriff auf IOS XE es Angreifern wahrscheinlich erm\u00f6glicht, den Netzwerkverkehr zu \u00fcberwachen, in gesch\u00fctzte Netzwerke einzudringen und eine beliebige Anzahl von Man-in-the-Middle-Angriffen durchzuf\u00fchren, so Jacob Baines.<\/p>\n

\"Wenn Ihr Unternehmen ein IOS XE-System verwendet, m\u00fcssen Sie unbedingt feststellen, ob Ihre Systeme kompromittiert wurden, und entsprechende Ma\u00dfnahmen ergreifen, sobald die Implantate entdeckt wurden.\" wird Jacob Baines von Bleeping Computer zitiert.<\/p>\n

\"Cisco<\/a><\/p>\n

Erg\u00e4nzung 2:<\/strong> Inzwischen ist mir obiger Tweet auf BlueSky mit einer \u00dcbersicht kompromittierter Systeme untergekommen (Quelle ist Shadow-Server<\/a>). Rapid 7 hat einen Blog-Beitrag<\/a> mit weiteren Erkenntnissen, Hinweisen zur Mitigation und Erkennung einer Kompromittierung ver\u00f6ffentlicht. Auf Github<\/a> gibt es ein Script, mit dem man ggf. eine Kompromittierung erkennen kann.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Der US-Anbieter Cisco hat zum 16. Oktober 2023 eine 0-day-Schwachstelle in IOS XE \u00f6ffentlich gemacht, die eine Privilegien-Erweiterung \u00fcber die Web UI erm\u00f6glicht. Bisher gibt es keinen Sicherheitsfix – und in einem Statement musste Cisco eingestehen, dass die Schwachstelle bereits … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[4328,3836],"class_list":["post-287049","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/287049","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=287049"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/287049\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=287049"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=287049"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=287049"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}