Kritisk sårbarhed Cisco IOS XE-software

Af Eskil Sørensen, 17/10/23

Patch endnu ikke tilgængelig.

Cisco har identificeret en sårbarhed i funktionen Web User Interface (Web UI) i Cisco IOS XE-softwaren. Det skriver en række medier på baggrund af en advisory fra Cisco.

Sårbarheden er kritisk for internetvendte systemer eller systemer, som er på ikke-pålidelige netværk. Sårbarheden gælder for både fysiske og virtuelle enheder, som også har HTTP- eller HTTPS-serverfunktionen aktiveret.

Sårbarheden har id’et CVE-2023-20198 og en CVSS-score på 10,0. Der er rapporter om aktiv udnyttelse af sårbarheden, som endnu ikke har fået en patch. Berørte systemer er Cisco IOS XE-software, hvis web-UI-funktionen er aktiveret.

Følgende anbefales:

  • Hvis kommandoen "ip http server" er til stede, og konfigurationen tillige indeholder "ip http active-session-modules none", kan sårbarheden ikke udnyttes over HTTP.
  • Hvis kommandoen "ip http secure-server" er til stede, og konfigurationen tillige indeholder "ip http secure-active-session-modules none", kan sårbarheden ikke udnyttes over HTTPS.

Web-brugergrænsefladen er et indlejret GUI-baseret systemstyringsværktøj, der giver mulighed for at konfigurere systemet, systemimplementering og administration. Web-brugergrænsefladen kan bruges til at bygge konfigurationer samt til at overvåge og fejlfinde systemet.

Generelt anbefales det, at Web-brugergrænsefladen og administration ikke er tilgængelig fra internettet eller upålidelige netværk.

Sårbarheden er den 16. oktober skrevet ind i CISAs katalog over kendte udnyttede sårbarheder med deadline for håndtering senest den 20. oktober.

Links:

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z
https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/
https://www.bleepingcomputer.com/news/security/cisco-warns-of-new-ios-xe-zero-day-actively-exploited-in-attacks/
https://www.cisa.gov/news-events/alerts/2023/10/16/cisco-releases-security-advisory-ios-xe-software-web-ui
https://therecord.media/cisco-hackers-targeting-zero-day
https://www.darkreading.com/vulnerabilities-threats/critical-unpatched-cisco-zero-day-bug-active-exploit
https://www.hackread.com/cisco-web-ui-vulnerability-exploited-attackers/
https://www.helpnetsecurity.com/2023/10/16/cve-2023-20198/
https://securityaffairs.com/152552/hacking/cisco-ios-xe-zero-day.html
https://www.cisa.gov/news-events/alerts/2023/10/16/cisa-adds-one-known-exploited-vulnerability-catalog

Keywords: 
sårbarheder
KEV