Dana 16. listopada 2023., Cisco je objavio obavijest o kritičnoj ranjivosti, CVE-2023-20198, koja zahvaća Web UI (engl. korisničko sučelje) Cisco IOS XE softvera. Ranjivost omogućuje neautentificiranom udaljenom napadaču stvaranje korisničkog računa s privilegijama razine 15, što mu osigurava kontrolu nad zahvaćenim sustavom. Ranjivost ima CVSS ocjenu 10. Iako zakrpa nije dostupna, Cisco će pružiti ažuriranja o statusu problema te se u trenutku pisanja obavijesti savjetuje primjena preporuka. 

Tehnički detalji ključnih ranjivosti:

Ranjivost CVE-2023-20198, omogućuje udaljenom, neautentificiranom napadaču iskorištavanje značajke Web UI unutar Cisco IOS XE softvera, za stvaranje računa s pristupom privilegija razine 15.

Zahvaćeni proizvodi:

Ova ranjivost utječe na Cisco IOS XE Software ako je omogućena značajka Web UI.

Značajka Web UI omogućena je putem naredbi ip http server ili ip http secure-server, a kako bi se provjerilo je li značajka Web UI omogućena, potrebno je potražite naredbe ip http server i ip http secure-server u konfiguraciji sustava.

Detekcija: 

Kako bi utvrdili potencijalnu kompromitaciju sustava, potrebno je provjeriti sljedeće:

1. Provjeriti sistemske dnevničke zapise radi prisutnosti bilo koje od sljedećih poruka u zapisima gdje korisnik može biti cisco_tac_admin, cisco_support ili bilo koji konfigurirani lokalni korisnik nepoznat mrežnom administratoru:
   
   %SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as user on line
   %SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: user] [Source: source_IP_address] at 03:42:13 UTC Wed Oct 11 2023
    
   Napomena: Poruka %SYS-5-CONFIG_P biti će prisutna za svaku instancu kada je korisnik pristupio Web UI. Indikator koji treba tražiti su nova ili nepoznata korisnička imena prisutna u poruci.
    
2. Provjeriti sistemske dnevničke zapise za sljedeću poruku gdje je filename nepoznato ime koje se ne podudara s očekivanim radnjama instalacije datoteka:
   
   %WEBUI-6-INSTALL_OPERATION_INFO: User: username, Install Operation: ADD filename
    
3. Cisco Talos je osigurao sljedeću naredbu za provjeru prisutnosti implantata gdje je systemip IP adresa sustava koji se provjerava. Ovu naredbu treba izvršiti s radne stanice koja ima pristup ciljanom sustavu (ako je sustav konfiguriran samo za HTTP pristup, koristiti HTTP shemu u naredbi u nastavku):
   
   curl -k -X POST https://systemip/webui/logoutconfirm.html?logon_hash=1
   Ako zahtjev vrati heksadecimalni niz, implantat je prisutan.

• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z
• https://www.bleepingcomputer.com/news/security/thousands-of-cisco-ios-xe-devices-hacked-in-widespread-attacks/