17.10.2023 10:49

CVE-2023-20198 - Schwachstelle in Cisco IOS XE wird aktiv ausgenützt

Cisco hat zum 16.Oktober ein Advisory zu einer Schwachstelle in der IOS XE Web-UI veröffentlicht[1][2]. Betroffen sind sowohl physische als auch virtuelle IOS XE Systeme mit aktiviertem HTTP/S-Server. Die Schwachstelle erlaubt Angreifer:innen, einen privilegierten Account anzulegen, was zu einer vollständigen Kompromittierung des Systems führen kann.

Betreiber:innen sollten sicherstellen, dass die Systeme nicht aus dem öffentlichen Internet erreichbar sind und gegebenenfalls den HTTP/S-Server deaktiveren, bis Cisco einen Patch bereitstellt. Ob bereits eine Kompromittierung erfolgt ist, kann mit dem folgenden Kommando überprüft werden:

curl -k -X POST "https:///webui/logoutconfirm.html?logon_hash=1"

Falls der Server nur http unterstützt, ist das Kommando entsprechend anzupassen. Eine Kompromittierung liegt vor, wenn der Request einen Hex-String zurückliefert.

Wir haben mithilfe der Suchmaschine shodan.io 103 öffentlich erreichbare Cisco-Systeme in Österreich identifiziert. Betreiber:innen potentiell betroffener Systeme werden von uns schnellstmöglich informiert.

Quellen:

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z (Cisco Advisory)

https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/ (Talos Blog)