Oppdatert varsel for sårbarheter i Cisco IOS XE Web UI (CVE-2023-20198)
NCSC sendte 16.10 ut et varsel om en kritisk sårbarhet HTTP/S-serveren på Cisco IOS XE enheter1. Følgende varsel er en oppdatering til dette.
Cisco har informert om at en sikkerhetsoppdatering forventes i løpet av søndag 22. oktober2. Oppdateringen bør installeres så snart det lar seg gjøre.
I følge Cisco har to sårbarheter blitt utnyttet:
(1) Angriper har først utnyttet CVE-2023-20198 for å få tilgang og privilegier opp mot nivå 15, og dermed opprettet brukernavn og passord for å kunne logge inn på systemet. Denne sårbarheten fikk en CVSS-score på 10.0.
(2) Deretter har angriper utnyttet en annen komponent av webgrensesnittet for å gi brukeren forhøyede tilganger (root). Sårbarheten er tildelt CVE-2023-20273 og har fått en CVSS-score på 7.2.
Utover å gjøre undersøkelser basert på informasjonen fra Cisco2,3 anbefaler NCSC alle som er påvirket av denne sårbarheten om å holde seg oppdatert på informasjon publisert av Cisco2, samt installere sikkerhetsoppdatering så fort denne forekommer.
NCSC er kjent med at flere Cisco IOS XE enheter i Norge har blitt kompromittert. Dersom man har en slik enhet eksponert mot internett, og webgrensesnittfunksjonalitet skrudd på, bør denne funksjonaliteten skrus av og iverksette undersøkelsene tidligere utsendt umiddelbart2.
Referanser:
1 Aktiv utnyttelse av sårbarhet i Cisco IOS XE Web UI (CVE-2023-20198)
2 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z
3https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/