Une faille de sĂ©curitĂ© critique sur l’environnement Cisco IOS XE a Ă©tĂ© dĂ©couverte le 16 octobre 2023 sur le protocole Web UI.

De quoi s’agit-il ?

Cette vulnĂ©rabilitĂ© permet Ă  un attaquant distant non authentifiĂ© de crĂ©er un compte sur le systĂšme. Ce compte aurait un accĂšs de niveau de privilĂšge 15 qui donne accĂšs Ă  un contrĂŽle total de l’équipement infectĂ©.

L’attaquant pourrait alors utiliser ce compte pour prendre le contrĂŽle du systĂšme affectĂ©. La faille a Ă©tĂ© reconnue publiquement par Cisco et est rĂ©fĂ©rencĂ©e CVE-2023-20198.

Produits affectés :
Les Ă©quipements dotĂ©s de Cisco IOS XE, si la fonctionnalitĂ© WEB UI est activĂ©e. Il est possible d’activer cette fonctionnalitĂ© avec les deux commandes suivantes :
– ip http server
– ip http secure-server

Potentielles conséquences :

– Prise de contrĂŽle total de l’appareil infectĂ© par l’attaquant

Vérifier la vulnérabilité de ces appareils :

Tapez dans le CLI de votre appareil Cisco IOS XE :
show running-config | include ip http server | secure | active

Si dans le résultat de la commande, vous obtenez ces résultats :
– ip http server
– ip http secure-server
Alors votre machine est vulnérable face à cette CVE.

ITrust vous recommande d’investiguer sur la prĂ©sence de ces indicateurs de compromission :

Pour vĂ©rifier si l’appareil est compromis, il faut voir dans les logs s’il y a la prĂ©sence d’utilisateurs inconnus de l’administrateur rĂ©seau :

%SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as utilisateur on line%SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: utilisateur] [Source: source_IP_address] at 03:42:13 UTC Wed Oct 11 2023

Le message “%SYS-5-CONFIG_P” sera prĂ©sent pour chaque instance oĂč un utilisateur a accĂ©dĂ© Ă  l’interface Web.

VĂ©rifiez dans les logs le message suivant dans lequel le nom du fichier est inconnu et n’est pas cohĂ©rent avec ce qui a Ă©tĂ© ou devrait avoir Ă©tĂ© rĂ©ellement fait dans le rĂ©seau :
%WEBUI-6-INSTALL_OPERATION_INFO: User: username, Install Operation: ADD nom_fichier

Une commande permet de vĂ©rifier la prĂ©sence d’un implant installĂ© par l’attaquant :
curl -k -X POST « https://systemip/webui/logoutconfirm.html?logon_hash=1« 

systemip est l’adresse IP de la machine que l’on veut vĂ©rifier.

Remédiation :

  • Pour le moment, aucun correctif n’a vu le jour.
    Si vos Ă©quipements fonctionnent sous Cisco IOS XE et que “ip http server” ou “ip http secure-server” est configurĂ©.

    Si vous n’avez pas besoin de la fonctionnalitĂ© HTTP Server, dĂ©sactivez-la.
    Si vous avez besoin de ce service, limitez le plus possible son accĂšs.

    Ne laissez l’accĂšs au serveur Web qu’aux rĂ©seaux en lesquels vous avez confiance.

Recommandations complémentaires :

Utilisez les dispositifs de sĂ©curitĂ© du SI : SIEMEDR ou contactez votre prestataire de supervision de votre cybersĂ©curitĂ© (SOC managĂ©).

> Ne pas laissez ce type de services exposĂ©s et sans protection. ITrust vous propose des outils pour dĂ©tecter les cybermenaces, ransomwares, virus, et comportements anormaux au sein de votre SI, comme notre SIEM Reveelium UEBA.

> Scannez rĂ©guliĂšrement votre rĂ©seau, afin de dĂ©tecter les failles de sĂ©curitĂ© et les correctifs Ă  appliquer. Notre scanner de vulnĂ©rabilitĂ© IKare, disponible en version d’essai gratuite, permet de dĂ©tecter les nouvelles failles de sĂ©curitĂ©.

Si vous avez besoin d’aide pour corriger ces failles, appelez nous. (05.67.34.67.80)

*Sources :
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4zhttps://vulncheck.com/blog/cisco-implants­