Kritisk Cisco-sårbarhet

Cisco advarer om en alvorlig Zero-Day sårbarhet i deres IOS XE-programvare. Denne kan tillate angripere å oppnå fulle administratorrettigheter og ta kontroll over kompromitterte rutere.

Skrevet av Hilde Martinsen

Publisert 24. oktober 2023

Vi oppfordrer alle virksomheter som benytter Cisco IOS XE til å oppdatere sine systemer så fort det lar seg gjøre.

Dette er saken:

Cisco har gått ut og advart om en alvorlig Zero-Day sårbarhet knyttet til HTTP/HTTPS serveren.

Sårbarheten spores som CVE-2023-20198. Den påvirker fysiske og virtuelle enheter med Web User Interface (Web UI)-funksjonen aktivert, sammen med HTTP- eller HTTPS Server-funksjonen slått på.

Cisco har identifisert aktiv utnyttelse av denne sårbarheten når enheter er eksponert mot internett eller utrygge nettverk. Vellykket utnyttelse tillater en angriper å opprette en privilegert konto med full kontroll over den kompromitterte enheten. Norske HelseCERT melder at routere som har admin-interface eksponert mot usikre nett bør regnes som kompromitterte og at hendelseshåndtering bør iverksettes.

Ifølge Cisco har to sårbarheter blitt utnyttet:

- Angriper har først utnyttet CVE-2023-20198 for å få tilgang og privilegier opp mot nivå 15, og dermed opprettet brukernavn og passord for å kunne logge inn på systemet. Denne sårbarheten fikk en CVSS-score på 10.0.

- Deretter har angriper utnyttet en annen komponent av webgrensesnittet for å gi brukeren forhøyede tilganger (root). Sårbarheten er tildelt CVE-2023-20273 og har fått en CVSS-score på 7.2.

Rettelser for CVE-2023-20198 og CVE-2023-20273 begynte å rulle ut 22. oktober. Ny software (17.94a) forhindrer denne sårbarheten.

Hva er en Zero-day sårbarhet?

«Nulldagssårbarhet» vil si en digital trussel som man ikke kjenner til fra før. Det er dermed både vanskeligere å oppdage og bekjempe.

Sjekk om du kan være sårbar:

For å finne ut om HTTP Server-funksjonen er aktivert for et system, logg på systemet og bruk show running-config | inkludere ip http server|secure|active kommando i CLI for å se etter tilstedeværelsen av ip http server kommandoen eller ip http secure-server kommandoen i den globale konfigurasjonen.

Dersom du skulle få følgende output og en av disse kommandoene vises:

ip http server
ip http secure-server

Er HTTP-serverfunksjonen aktivert for systemet og enheten sårbar!

Våre anbefalinger:

Vi anbefaler at dere oppgraderer til ny software så fort som mulig!
Vi er kjent med at flere Cisco IOS XE enheter i Norge har blitt kompromittert.
Deaktivere HTTP-serverfunksjonen på systemer eksponert mot internett for å blokkere denne angrepsvektoren.
Søk etter uforklarlige eller nylig opprettede brukerkontoer som indikatorer på skadelig aktivitet.
Sårbare enheter som har vært eksponert mot nettet bør sjekkes for kompromittering og patches.
Den viktigste anbefalingen er imidlertid å ikke eksponere mulighet for administrator-innlogging mot offentlig tilgjengelige nettverk.
Alle som er påvirket av denne sårbarheten bør holde seg oppdatert på informasjon publisert av Cisco, samt installere sikkerhetsoppdatering så fort som mulig.

NB!

Ingen av Telenors standard tjenester (WAN og Bedrifts bredbånd) er berørt av denne sårbarheten.

For de kunder som har driftsavtale har Telenors driftsavdeling jobbet med dette siden sårbarheten ble kjent. Vi hjelper kunder med å mitigere og oppdatere utstyret som kan/er berørt av sårbarheten.

Virksomheter som ikke har driftsavtale med Telenor bør gjøre nødvendige grep selv. Dersom noen av disse har en produsentavtale eller supportavtale gjennom Telenor, anbefaler vi at de tar kontakt via Tjenesteportalen for bestilling av eventuelt bistand ved behov.