In einem kürzlich veröffentlichten Bericht wurde eine ernste Sicherheitslücke im Betriebssystem IOS XE von Cisco aufgedeckt. Diese Schwachstelle ermöglicht es Angreifern, Geräte mit IOS XE und Web-UI aus der Ferne zu übernehmen. Cisco hat zwar noch keine Patches bereitgestellt (Stand: 17.10.2023), jedoch Empfehlungen für Betroffene abgegeben, um das Risiko einer Ausnutzung zu minimieren.
Die Sicherheitslücke erhält den höchstmöglichen CVSS-Wert von 10.0.
Unter Anderem ist es zu empfehlen die Webadministration zu deaktivieren.
Nach einem Artikel der Cisco Tochter Talos ist einem Angreifer bereits am 18.09.2023 ein erfolgreicher Login über die Sicherheitslücke gelungen. Des kompletten Artikel lesen sie hier: https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/
Sowohl Cisco als auch mehrere Sicherheitsbehörden haben vor der zunehmenden Ausnutzung älterer Schwachstellen in Cisco IOS und IOS-XE gewarnt und betonen die Bedeutung von Sicherheitsupdates und fortlaufender Überwachung, um Netzwerke zu schützen.
Hinweise für Cisco Administratoren
Indizien für eine Kompromittierung ergeben sich laut dem Talos Bericht aus folgenden Punkten:
Eine als Config getarntes LUA Backrohr unter:
/usr/binos/conf/nginx-conf/cisco_service.confZugriffe von den IP Adressen:
5.149.249.74
154.53.56.231Benutzerkonten mit den Namen:
cisco_tac_admin
cisco_supportAuch der folgende Log-Einträge können auf die Angriffe hinweisen:
%SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as user on line
%SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: user] [Source: source_IP_address] at 03:42:13 UTC Wed Oct 11 2023
%WEBUI-6-INSTALL_OPERATION_INFO: User: username, Install Operation: ADD filenameEs wird dringend empfohlen, dass Netzwerkadministratoren die Sicherheitsrichtlinien von Cisco befolgen und ihre Systeme auf die neueste, sicherste Version aktualisieren, um die Integrität und Sicherheit ihrer Netzwerke zu gewährleisten.
Details zur Lücke: https://nvd.nist.gov/vuln/detail/CVE-2023-20198
Weitere Beiträge zum Thema IT_Sicherheit: IT-Sicherheit im Unternehmen: Wie Sie als Entscheider effektiv handeln können