Die API ist derzeit nicht erreichbar. Bitte versuchen Sie es später erneut.

CVE-2023-20198 – Kritische Sicherheitslücke in Cisco’s IOS XE ermöglicht unbefugte Netzwerkübernahmen

von | Donnerstag, Oktober 19, 2023 | Cybersicherheit, News

Tecxero Newsflash - Cyberkriminalität, Cybersecurity

In einem kürzlich veröffentlichten Bericht wurde eine ernste Sicherheitslücke im Betriebssystem IOS XE von Cisco aufgedeckt. Diese Schwachstelle ermöglicht es Angreifern, Geräte mit IOS XE und Web-UI aus der Ferne zu übernehmen. Cisco hat zwar noch keine Patches bereitgestellt (Stand: 17.10.2023), jedoch Empfehlungen für Betroffene abgegeben, um das Risiko einer Ausnutzung zu minimieren.

Die Sicherheitslücke erhält den höchstmöglichen CVSS-Wert von 10.0.

Unter Anderem ist es zu empfehlen die Webadministration zu deaktivieren.

Nach einem Artikel der Cisco Tochter Talos ist einem Angreifer bereits am 18.09.2023 ein erfolgreicher Login über die Sicherheitslücke gelungen. Des kompletten Artikel lesen sie hier: https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/

Sowohl Cisco als auch mehrere Sicherheitsbehörden haben vor der zunehmenden Ausnutzung älterer Schwachstellen in Cisco IOS und IOS-XE gewarnt und betonen die Bedeutung von Sicherheitsupdates und fortlaufender Überwachung, um Netzwerke zu schützen.

Hinweise für Cisco Administratoren

Indizien für eine Kompromittierung ergeben sich laut dem Talos Bericht aus folgenden Punkten:

Eine als Config getarntes LUA Backrohr unter: 

/usr/binos/conf/nginx-conf/cisco_service.conf

Zugriffe von den IP Adressen: 

5.149.249.74
154.53.56.231

Benutzerkonten mit den Namen:

cisco_tac_admin
cisco_support

Auch der folgende Log-Einträge können auf die Angriffe hinweisen: 

%SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as user on line
%SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: user] [Source: source_IP_address] at 03:42:13 UTC Wed Oct 11 2023
%WEBUI-6-INSTALL_OPERATION_INFO: User: username, Install Operation: ADD filename

Es wird dringend empfohlen, dass Netzwerkadministratoren die Sicherheitsrichtlinien von Cisco befolgen und ihre Systeme auf die neueste, sicherste Version aktualisieren, um die Integrität und Sicherheit ihrer Netzwerke zu gewährleisten.

Details zur Lücke: https://nvd.nist.gov/vuln/detail/CVE-2023-20198

Weitere Beiträge zum Thema IT_Sicherheit: IT-Sicherheit im Unternehmen: Wie Sie als Entscheider effektiv handeln können