В реализации web-интерфейса, используемого на физических и виртуальных устройствах Cisco, оснащённых операционной системой Cisco IOS XE, выявлена критическая уязвимость (CVE-2023-20198), позволяющая без прохождения аутентификации получить полный доступ к системе с максимальным уровнем привилегий, при наличии доступа к сетевому порту, через который функционирует web-интерфейс. Опасность проблемы усугубляет то, что злоумышленники уже в течение месяца используют неисправленную уязвимость для создания дополнительных учётных записей "cisco_tac_admin" и "cisco_support" с правами администратора, и для автоматизированного размещения на устройствах импланта, предоставляющего удалённый доступ для выполнения команд на устройстве.

Несмотря на то, что для обеспечения должного уровня безопасности рекомендуется открывать доступ к web-интерфейсу только для избранных хостов или локальной сети, многие администраторы оставляют возможность подключения и из глобальной сети. В частности, по данным сервиса Shodan в настоящее время в глобальной сети зафиксировано более 140 тысяч потенциально уязвимых устройств. Организация CERT уже зафиксировала около 35 тысяч успешно атакованных устройств Cisco, на которых установлен вредоносный имплант.

До публикации исправления с устранением уязвимости в качестве обходного пути для блокирования проблемы рекомендуется отключить HTTP- и HTTPS-сервер на устройстве, используя в консоли команды "no ip http server" и "no ip http secure-server", или ограничить доступ к web-интерфейсу на межсетевом экране. Для проверки наличия вредоносного импланта рекомендуется выполнить запрос:

   curl -X POST http://IP-устройства/webui/logoutconfirm.html?logon_hash=1

    %SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as user on line

    %SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: user] [Source: source_IP_address] at 05:41:11 UTC Wed Oct 17 2023

    %WEBUI-6-INSTALL_OPERATION_INFO: User: username, Install Operation: ADD filename

В случае компрометации для удаления импланта достаточно перезагрузить устройство. Созданные атакующим учётные записи сохраняются после перезапуска и их необходимо удалить вручную. Имплант размещается в файле /usr/binos/conf/nginx-conf/cisco_service.conf и включает 29 строк кода на языке Lua, обеспечивающих выполнение произвольных команд на уровне системы или командного интерфейса Cisco IOS XE в ответ на HTTP-запрос со специальным набором параметров.

Дополнение 1: Компания Cisco опубликовала информацию об ещё одной 0-day уязвимости (CVE-2023-20273) которая использовалась в атаке для установке импланта на устройства с ОС Cisco IOS XE. Уязвимость CVE-2023-20273 применялась атакующими после эксплуатации первой уязвимости CVE-2023-20198 и позволяла использовать новую учётную запись с правами root, созданную при её эксплуатации, для выполнения произвольных команд на устройстве. Выпуск обновления с устранением уязвимостей намечен на 22 октября.

Дополнение 2: Опубликован технический анализ уязвимости и прототип эксплоита, подготовленный независимым исследователем на основе анализа трафика атакующих. Уязвимость позволяла для обхода проверки заменить символы в запросе на "%xx"-представление. Например, для обращения к сервису WMSA (Web Services Management Agent) можно было отправить запрос "POST /%2577ebui_wsma_HTTP", который вызывал обработчик "webui_wsma_http" без проверки доступа.