Une faille de sécurité critique sur l’environnement Cisco IOS XE a été découverte le 16 octobre 2023 sur le protocole Web UI.
De quoi s’agit-il ?
Cette vulnérabilité permet à un attaquant distant non authentifié de créer un compte sur le système. Ce compte aurait un accès de niveau de privilège 15 qui donne accès à un contrôle total de l’équipement infecté.
L’attaquant pourrait alors utiliser ce compte pour prendre le contrĂ´le du système affectĂ©. La faille a Ă©tĂ© reconnue publiquement par Cisco et est rĂ©fĂ©rencĂ©e CVE-2023-20198.
Produits affectés :
Les équipements dotés de Cisco IOS XE, si la fonctionnalité WEB UI est activée. Il est possible d’activer cette fonctionnalité avec les deux commandes suivantes :
– ip http server
– ip http secure-server
Potentielles conséquences :
– Prise de contrĂ´le total de l’appareil infectĂ© par l’attaquant
Vérifier la vulnérabilité de ces appareils :
Tapez dans le CLI de votre appareil Cisco IOS XE :
show running-config | include ip http server | secure | active
Si dans le résultat de la commande, vous obtenez ces résultats :
–Â ip http server
– ip http secure-server
Alors votre machine est vulnérable face à cette CVE.
ITrust vous recommande d’investiguer sur la présence de ces indicateurs de compromission :
Pour vĂ©rifier si l’appareil est compromis, il faut voir dans les logs s’il y a la prĂ©sence d’utilisateurs inconnus de l’administrateur rĂ©seau :
%SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as utilisateur on line%SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: utilisateur] [Source: source_IP_address] at 03:42:13 UTC Wed Oct 11 2023
Le message “%SYS-5-CONFIG_P” sera présent pour chaque instance où un utilisateur a accédé à l’interface Web.
Vérifiez dans les logs le message suivant dans lequel le nom du fichier est inconnu et n’est pas cohérent avec ce qui a été ou devrait avoir été réellement fait dans le réseau :
%WEBUI-6-INSTALL_OPERATION_
Une commande permet de vérifier la présence d’un implant installé par l’attaquant :
curl -k -X POST « https://systemip/webui/
systemip est l’adresse IP de la machine que l’on veut vérifier.
Remédiation :
- Pour le moment, aucun correctif n’a vu le jour.
Si vos équipements fonctionnent sous Cisco IOS XE et que “ip http server” ou “ip http secure-server” est configuré.Si vous n’avez pas besoin de la fonctionnalité HTTP Server, désactivez-la.
Si vous avez besoin de ce service, limitez le plus possible son accès.Ne laissez l’accès au serveur Web qu’aux réseaux en lesquels vous avez confiance.
Recommandations complémentaires :
Utilisez les dispositifs de sécurité du SI : SIEM, EDR ou contactez votre prestataire de supervision de votre cybersécurité (SOC managé).
> Ne pas laissez ce type de services exposés et sans protection. ITrust vous propose des outils pour détecter les cybermenaces, ransomwares, virus, et comportements anormaux au sein de votre SI, comme notre SIEM Reveelium UEBA.
> Scannez régulièrement votre réseau, afin de détecter les failles de sécurité et les correctifs à appliquer. Notre scanner de vulnérabilité IKare, disponible en version d’essai gratuite, permet de détecter les nouvelles failles de sécurité.
Si vous avez besoin d’aide pour corriger ces failles, appelez nous. (05.67.34.67.80)
*Sources :
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4zhttps://vulncheck.com/blog/cisco-implantsÂ
