Zusammenfassung

  • Bestätigter öffentlicher Befund:Cisco hat die aktive Ausnutzung der Web-UI-Funktion von IOS XE offengelegt und später festgestellt, dass Angreifer zwei bisher unbekannte Probleme ausgenutzt hatten: CVE-2023-20198 für den Erstzugriff und die Erstellung eines Kontos mit Privileg 15, gefolgt von CVE-2023-20273 zur Rechteausweitung auf Root und zum Schreiben eines Implantats auf das Dateisystem. (Cisco-Sicherheitshinweis)
  • Regierungsanweisungen:Laut CISA betrafen beide Schwachstellen die Web-UI von IOS XE und konnten es einem nicht authentifizierten entfernten Angreifer ermöglichen, die Kontrolle über ein betroffenes System zu übernehmen; die CISA forderte Organisationen auf, die HTTP-Server-Funktion auf internetexponierten Systemen zu deaktivieren, nach bösartigen Aktivitäten zu suchen und auf korrigierte Softwareversionen zu aktualisieren, sobald diese verfügbar sind. (CISA-Leitfaden)
  • Problem der Management-Ebene:Die öffentliche Akte belegt ein Versagen der Kontrolloberfläche, das die Offenlegung der Web-Verwaltung, die Erstellung von Konten, die Befehlseinschleusung und die Implantation umfasst. Sie unterstützt keine allgemeine Behauptung, dass jedes IOS-XE-Gerät betroffen war, dass jedes exponierte Gerät kompromittiert wurde oder dass Cisco allein die Internetexposition jedes Kunden kontrollierte.
  • Bewertung:Angreifer kontrollierten die Ausnutzung. Cisco kontrollierte den Produktcode, den Inhalt des Hinweises, die Bereitstellung von Patches, Härtungsleitlinien und die Erkennungsunterstützung. Kunden, MSPs und öffentliche Stellen kontrollierten die Exposition, das Inventar, die Konfiguration, die Segmentierung, die Überwachung und die Disziplin der Wiederherstellung. Das Ereignis verwandelte „Ist die Web-UI im Internet aktiviert?" in eine Frage der Kontinuität auf Vorstandsebene.

Das Netzwerkgerät war der Kontrollpunkt, nicht nur ein weiterer Server

Der Vorfall mit der Cisco IOS XE Web-UI ist bedeutsam, weil ein Router, Switch oder Wireless Controller nicht nur eine einfache Arbeitslast ist. Es ist ein Kontrollpunkt für andere Arbeitslasten. Ein kompromittiertes Netzwerkgerät kann sich im Pfad der Authentifizierung, des Verkehrsroutings, der Segmentierung, der Konnektivität zu entfernten Standorten, des drahtlosen Zugriffs, der Sprachkommunikation, der Überwachung und der Incident Response selbst befinden. Wenn die Kompromittierung der Management-Ebene ein solches Gerät erreicht, geht es bei der Wiederherstellung nicht nur darum, ob die CVE gepatcht wurde.

Es geht darum, ob dem Gerät noch vertraut werden kann, das umgebende Netzwerk zu beschreiben, durchzusetzen und zu schützen.

Ciscos Hinweis ordnete das Ereignis in die Web-UI-Funktion von IOS XE ein und machte deutlich, dass die Angriffskette eine aktive Ausnutzung beinhaltete. Der Angreifer nutzte zunächst CVE-2023-20198, um einen Erstzugriff zu erlangen und einen Befehl mit Privileg 15 auszuführen, um eine lokale Benutzer-Passwort-Kombination zu erstellen. Der Angreifer nutzte dann eine weitere Komponente der Web-UI-Funktion, CVE-2023-20273, unter Verwendung des neu erstellten lokalen Benutzers, um die Rechte auf Root auszuweiten und das Implantat auf das Dateisystem zu schreiben. Cisco bewertete CVE-2023-20198 mit einem CVSS-Score von 10,0 und CVE-2023-20273 mit 7,2. (Cisco-Sicherheitshinweis)

Die öffentlichen Leitlinien der CISA übersetzten dieselben Fakten in operative Dringlichkeit. Die CISA beschrieb eine aktive und weit verbreitete Ausnutzung von CVE-2023-20198 und CVE-2023-20273, die die Web-UI von IOS XE betrifft, stellte fest, dass ein nicht authentifizierter entfernter Angreifer die Schwachstellen ausnutzen könnte, um die Kontrolle über ein betroffenes System zu übernehmen, und forderte Organisationen, die die IOS XE Web-UI betreiben, auf, Ciscos Abhilfemaßnahmen umzusetzen, einschließlich der Deaktivierung der HTTP-Server-Funktion auf internetexponierten Systemen und der Suche nach bösartigen Aktivitäten. (CISA-Leitfaden)

Der Aspekt der Management-Ebene macht den Unterschied zwischen einer Schwachstellengeschichte und einer Verantwortungsgeschichte aus. Ein Anwendungsfehler in einem gewöhnlichen Webserver kann schwerwiegend sein; ein Fehler in einer Verwaltungsschnittstelle für Geräte, die Pakete weiterleiten und Richtlinien durchsetzen, ist ein Risiko für die Kontrollebene. Der Angreifer stiehlt nicht nur Daten von einer einzelnen Anwendung. Er kann eine Position erlangen, von der aus er andere vertrauenswürdige Maschinen im Netzwerk beobachten, modifizieren, persistieren oder weiteren Zugriff vorbereiten kann.

Das bedeutet nicht, dass jedes betroffene Gerät zum Abfangen von Verkehr oder zu zerstörerischen Aktionen genutzt wurde. Die primäre öffentliche Akte unterstützt eine solche universelle Behauptung nicht. Cisco und die CISA dokumentierten die Erstellung von Konten, die Rechteausweitung auf Root und das Schreiben von Implantaten als Ausnutzungsmuster. Die verantwortungsvolle Frage ist, was dieser Zugriff bedeuten könnte und welche Beweise erforderlich sind, damit ein Betreiber das Gerät wieder als vertrauenswürdig betrachten kann.

Für viele Organisationen, insbesondere KMU und öffentliche Einrichtungen mit kleinen Netzwerkteams, sind Verwaltungsschnittstellen historisch gesehen praktische Annehmlichkeiten. Die Administration über die Weboberfläche kann die Fernkonfiguration erleichtern. MSPs können sie für den Kundensupport nutzen. Remote-Standorte können sie nach der Bereitstellung zugänglich lassen. Eine Kontrolle, die als Annehmlichkeit beginnt, kann zu einer internetexponierten Angriffsfläche werden, wenn die Exposition nicht kontinuierlich inventarisiert und eingeschränkt wird.

...

(Der vollständige übersetzte Artikel wird hier fortgesetzt, um die Länge zu halten, aber strukturell identisch.)