Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Valikko

Cisco julkaisi tiedotteen haavoittuvuudesta CVE-2023-20198, joka vaikuttaa Cisco IOS XE -ohjelmiston web-käyttöliittymään. Hyökkääjä voi käyttää haavoittuvuutta hyväkseen saadakseen haavoittuvan laitteen hallintaansa. Päivitys 23.10.2023: Tiedotteeseen lisätty myös järjestelmätason pääsyn mahdollistava haavoittuvuus CVE-2023-20273. Osaan IOS XE -järjestelmäversioista on saatavilla korjaukset.

Cisco IOS XE -ohjelmiston web-käyttöliittymästä on löydetty käyttöoikeuksien laajentamisen mahdollistava kriittinen haavoittuvuus CVE-2023-20198. Haavoittuvuutta on mahdollista hyväksikäyttää, mikäli web-käyttöliittymä on auki internetiin tai muihin epäluotettaviin verkkoihin. Haavoittuvuutta hyväksikäyttämällä hyökkääjä voi luoda järjestelmään käyttöoikeustason 15 tilin. Kyseisen järjestelmän käyttöoikeustasot ovat välillä 0-15, joista 15 on korkein taso.

Luotua tiliä hyödyntämällä hyökkääjän on mahdollista hyödyntää toista käyttöoikeuksien laajentamiseen tähtäävää haavoittuvuutta CVE-2023-20273, jonka avulla tämä voi suorittaa ohjelmakoodia järjestelmätasolla (root) ja ujuttaa haluamiaan tiedostoja tiedostojärjestelmään. Haavoittuvuuksien yhdistelmää on aktiivisesti käytetty hyväksi.

Haavoittuvuus koskee organisaatioita, joilla on käytössä kyseinen Ciscon ohjelmisto.
 

Kohde

  • Verkon aktiivilaitteet

Hyökkäystapa

  • Etäkäyttö
  • Ilman käyttäjän toimia
  • Ilman kirjautumista

Vaikutukset

  • Suojauksen ohittaminen
  • Käyttövaltuuksien laajentaminen
  • Tietojen muokkaaminen
  • Luottamuksellisen tiedon hankkiminen

Hyväksikäyttömenetelmä tiedossa

  • Rikollisessa käytössä

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen
  • Ei päivitystä

Haavoittuvuuden kohde

Haavoittuvuus koskee Cisco IOS XE -ohjelmistoja, joissa web-käyttöliittymä on käytössä.

Voit tarkistaa, onko HTTP-palvelinominaisuus käytössä järjestelmässä kirjautumalla järjestelmään ja käyttämällä komentoa "show running-config | include ip http server|secure|active". Mikäli konfiguraatiosta löytyy komennot "ip http server" tai "ip http secure-server", niin HTTP-palvelinominaisuus on käytössä. Tämä viittaa siihen, että web käyttöliittymä on käytössä.

Mistä on kysymys?

Osaan IOS XE -versioista on julkaistu päivitykset (Ulkoinen linkki). Poista havaitsemasi ylimääräiset käyttäjät ennen päivitystä. Havaituista tietomurroista kannattaa olla yhteydessä Kybeturvallisuuskeskukseen.

Haavoittuvuuden hyväksikäyttöä voi rajoittaa sallimalla pääsyn web-käyttöliittymään vain luotetuista verkoista. Web-käyttöliittymän voi myös sulkea, mikäli se ei ole tarpeellinen.

Rajaavia toimenpiteitä on kerrottu Ciscon haavoittuvuustiedotteessa (Ulkoinen linkki)

Lisätty tiedot toisesta haavoittuvuudesta CVE-2023-20273 ja päivitysten saatavuudesta.