![]()
近日,安识科技A-Team团队监测到Cisco修复了Cisco IOS XE 软件 Web UI 功能中的2个漏洞,目前这些漏洞已发现被利用。对此,安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防工作,以免遭受黑客攻击。
简述:Cisco IOS(Internetwork Operating System,简称IOS)是思科公司(Cisco System)为其网络设备开发的操作维护系统。IOS XE是思科IOS操作系统的一种,Cisco IOS XE Web UI 是一种基于 GUI 的嵌入式系统管理工具,能够提供系统配置、简化系统部署和可管理性,并增强用户体验。漏洞名称:Cisco IOS XE Web UI权限提升漏洞Cisco IOS XE软件的 Web UI 功能中存在漏洞,当暴露于互联网或不受信任的网络时,未经身份验证的远程威胁者可利用该漏洞创建具有15级访问权限的帐户,并使用该帐户来控制受影响的系统。该漏洞的CVSSv3评分为10.0,影响启用了 Web UI 功能的Cisco IOS XE 软件。漏洞名称:Cisco IOS XE Web UI命令注入漏洞Cisco IOS XE软件的 Web UI 功能中存在漏洞,当暴露于互联网或不受信任的网络时,使用本地账户的威胁者可利用该漏洞在受影响设备中注入具有提升(即 root)权限的命令,该漏洞的CVSSv3评分为7.2。
CVE-2023-20198:未经身份验证的远程威胁者可利用该漏洞创建具有15级访问权限的帐户,并使用该帐户来控制受影响的系统。CVE-2023-20273:使用本地账户的威胁者可利用该漏洞在受影响设备中注入具有提升(即 root)权限的命令。
受影响的Cisco IOS XE软件版本(启用了 Web UI 功能):
17.9
17.6
17.3
16.12(仅限 Catalyst 3650 和 3850)
目前这些漏洞已经修复,受影响用户可升级到以下Cisco IOS XE软件固定版本:16.12(仅限 Catalyst 3650 和 3850):升级到16.12.10ahttps://www.cisco.com/c/en/us/support/index.html可通过检测Cisco IOS XE 软件是否启用了 Web UI 功能来判断设备是否易受攻击,Web UI 功能通过ip http server或ip http secure-server命令启用。检测系统是否启用了 HTTP Server 功能如下:登录系统并在 CLI 中使用 show running-config | include ip http server|secure|active命令检查全局配置中是否存在 ip http server 命令或 ip http secure-server 命令。如果存在这两条命令中的任何一条(或同时存在),则表示系统已启用 HTTP Server 功能(Web UI 功能已启用),示例如下:Router# show running-config | include ip http server|secure|active如果存在ip http server命令并且配置还包含ip http active-session-modules none,则无法通过 HTTP 利用这些漏洞。如果存在ip http secure-server命令并且配置还包含ip http secure-active-session-modules none,则无法通过 HTTPS 利用这些漏洞。1.在受影响的设备可以升级之前,可通过禁用受影响设备的HTTP Server功能来缓解攻击,管理员可在全局配置模式下使用no ip http server和/或no ip http secure-server命令禁用 HTTP Server功能(如果两者同时启用则需要使用两个命令禁用)。2. 可使用访问控制列表将 HTTP Server 的访问限制为受信任的网络。
【-】2023年10月22日 安识科技A-Team团队监测到漏洞公布信息【-】2023年10月23日 安识科技A-Team团队根据漏洞信息分析【-】2023年10月24日 安识科技A-Team团队发布安全通告
文章来源: https://mp.weixin.qq.com/s?__biz=MzAxNDM3NTM0NQ==&mid=2657045580&idx=1&sn=0dccbbc046575f999f99a4d70ea7f866&chksm=803fac92b74825848c7430f9951bff3c6d2d1dc2c6b8dcc3fb935203a97f1a696995ad9a9eee&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh