Cisco IOS XE ohjelmiston web-käyttöliittymässä käyttöoikeuksien laajentamisen mahdollistava haavoittuvuus

Cisco julkaisi tiedotteen haavoittuvuudesta CVE-2023-20198, joka vaikuttaa Cisco IOS XE -ohjelmiston web-käyttöliittymään. Hyökkääjä voi käyttää haavoittuvuutta hyväkseen saadakseen haavoittuvan laitteen hallintaansa. Päivitys 23.10.2023: Tiedotteeseen lisätty myös järjestelmätason pääsyn mahdollistava haavoittuvuus CVE-2023-20273. Osaan IOS XE -järjestelmäversioista on saatavilla korjaukset.

Cisco IOS XE -ohjelmiston web-käyttöliittymästä on löydetty käyttöoikeuksien laajentamisen mahdollistava kriittinen haavoittuvuus CVE-2023-20198. Haavoittuvuutta on mahdollista hyväksikäyttää, mikäli web-käyttöliittymä on auki internetiin tai muihin epäluotettaviin verkkoihin. Haavoittuvuutta hyväksikäyttämällä hyökkääjä voi luoda järjestelmään käyttöoikeustason 15 tilin. Kyseisen järjestelmän käyttöoikeustasot ovat välillä 0-15, joista 15 on korkein taso.

Luotua tiliä hyödyntämällä hyökkääjän on mahdollista hyödyntää toista käyttöoikeuksien laajentamiseen tähtäävää haavoittuvuutta CVE-2023-20273, jonka avulla tämä voi suorittaa ohjelmakoodia järjestelmätasolla (root) ja ujuttaa haluamiaan tiedostoja tiedostojärjestelmään. Haavoittuvuuksien yhdistelmää on aktiivisesti käytetty hyväksi.

Haavoittuvuus koskee organisaatioita, joilla on käytössä kyseinen Ciscon ohjelmisto.

Haavoittuvuuden kohde

Haavoittuvuus koskee Cisco IOS XE -ohjelmistoja, joissa web-käyttöliittymä on käytössä.

Voit tarkistaa, onko HTTP-palvelinominaisuus käytössä järjestelmässä kirjautumalla järjestelmään ja käyttämällä komentoa "show running-config | include ip http server|secure|active". Mikäli konfiguraatiosta löytyy komennot "ip http server" tai "ip http secure-server", niin HTTP-palvelinominaisuus on käytössä. Tämä viittaa siihen, että web käyttöliittymä on käytössä.

Mistä on kysymys?

Osaan IOS XE -versioista on julkaistu päivitykset. Poista havaitsemasi ylimääräiset käyttäjät ennen päivitystä. Havaituista tietomurroista kannattaa olla yhteydessä Kybeturvallisuuskeskukseen.

Haavoittuvuuden hyväksikäyttöä voi rajoittaa sallimalla pääsyn web-käyttöliittymään vain luotetuista verkoista. Web-käyttöliittymän voi myös sulkea, mikäli se ei ole tarpeellinen.

Rajaavia toimenpiteitä on kerrottu Ciscon haavoittuvuustiedotteessa

Ciscon blogikirjoitus

Ciscon haavoittuvuustiedote

Ciscon tiedote päivitysten saatavuudesta eri ohjelmistoversioille

Verkon aktiivilaitteet

Verkon aktiivilaitteilla tarkoitetaan sellaisia laitteita, jotka ovat yleensä tavallisen käyttäjän näkymättömissä, kuten esimerkiksi reitittimet, kytkimet ja palomuurit. Nämä laitteet ja niiden ohjelmistot välittävät tai suodattavat verkkoliikennettä.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Tietojen muokkaaminen

Järjestelmään talletettujen tietojen muokkaaminen ei välttämättä edellytä komentojen suorittamista, käyttövaltuuksien laajentamista tai järjestelmään kirjautumista. Esimerkiksi käyttämällä hyväksi www-palvelinohjelmiston haavoittuvuutta voi hyökkääjä luvatta muuttaa palvelimella näkyvien verkkosivujen sisältöä.

Luottamuksellisen tiedon hankkiminen

Luottamuksellisten tietojen hankkiminen kohdejärjestelmästä edellyttää sitä, että sen tietosisältöä, esimerkiksi kiintolevylle talletettuja tiedostoja, pääsee lukemaan luvatta ja välittämään edelleen.

Rikollisessa käytössä

Haavoittuvuus on rikollisessa käytössä.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.

Ongelman rajoittaminen

Vaikka varsinaista korjausta haavoittuvuuteen ei aina ole saatavilla, sen vaikutuksia voidaan useimmiten rajoittaa esimerkiksi pidättäytymällä tilapäisesti jonkin ominaisuuden käytöstä tai rajoittamalla verkkoliikennettä kohdejärjestelmään sopivasti.

Ei päivitystä

Haavoittuvuuden tultua julki ei korjausta siihen ole välttämättä heti saatavilla. Kohdejärjestelmät ovat alttiita haavoittuvuuden hyväksikäytölle jos niiden suojaamiseksi ei ryhdytä toimenpiteisiin.