更新時間:2023/10/26 16:52:41
發佈時間:2023/10/26 16:52:41
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
一、漏洞說明[1]
Cisco近期公告其IOS XE作業系統的網頁使用者介面存在高風險漏洞,當使用此作業系統的設備有開啟此項功能,且使用者介面暴露於公開或不安全網路的情況下,攻擊者成功利用漏洞後即可於受影響的設備以最高權限輸入任意指令,進行後續相關攻擊活動。
二、已揭露攻擊活動說明
官方於漏洞公告中表示已觀察此漏洞被利用於攻擊受影響之設備,攻擊者先利用Cisco IOS XE作業系統另一高風險漏洞CVE-2023-20198(已於2023/10/19公告[2]),建立一般權限的本機帳號後,再透過本項漏洞使用新建的帳號將權限提升為root並植入惡意程式。同時,亦觀察到攻擊者收集有關設備的資訊並進行初步偵察,且發現其清除日誌並刪除使用者帳號等行為。
三、入侵威脅指標
5.149.249[.]74 (已於2023/10/19公告[2])
154.53.56[.]231 (已於2023/10/19公告[2])
154.53.63[.]93
▶ 參考資訊
⌵
| 網址 | 說明 |
|---|---|
| https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z | 1.Cisco |
| https://www.fisac.tw/STIX_CASE/QueryStixCase/Detail?Uno=A__p_hl6jJvUoDKxBem1wTxhDKwnv148adl__s_WjAMcVKHgI__e_ | 2. F-ISAC |
| https://www.cisco.com/c/en/us/support/docs/ios-nx-os-software/ios-xe-dublin-17121/221128-software-fix-availability-for-cisco-ios.html | 3.Cisco |
▶ 影響平台
⌵
影響平台-系統:
使用Cisco IOS XE 作業系統且開啟網頁使用者介面的設備
▶ 建議措施
⌵
一、官方已於漏洞公告中提供檢測方式,可於CLI使用“show running-config | include ip http server|secure|active”指令檢視功能是否開啟。此外官方亦提及若上述功能開啟,但Config包含
ip http active-session-modules none 或ip http secure-active-session-modules none,該設備也不會受此漏洞影響。
二、官方已提供部分受影響版本的修補程式,建議會員可依單位內既有漏洞修補機制評估後進行相關作業。[3]
三、官方建議系統尚未修補前可於CLI使用“no ip http server” 或“no ip http secure-server”指令關閉網頁使用者介面功能,如仍須使用,建議限制存取來源IP以確保安全性。建議除非必要,企業內部網路亦一併進行檢視及關閉相關服務。
四、建議會員可透過單位內設備觀察是否曾有這些(可疑)IP之連線紀錄,進行分析及風險評估(建議確認連線請求者是否為正常或合法的連線),並依照既有防護設備採取對應防護措施。
▶ 漏洞資訊
⌵
名稱:
CVE-2023-20273
描述:
使用版本:CVSS 3.1
分析分數:7.2
參考來源: Cisco
▶ IoC資料欄位
⌵
| 類別 | 內容 |
|---|---|
| IPv4 | 5.149.249.74 |
| IPv4 | 154.53.56.231 |
| IPv4 | 154.53.63.93 |
情資編號:
FISAC-200-202310-0006
系統目錄:
資安漏洞
資安類別:
漏洞公告 /
影響等級:
3
關鍵字:
弱點漏洞