[CVE-2023-20198] Cisco IOS XE Software Web UI 권한상승 취약점

Cisco에서 제공하는 네트워킹 소프트웨어 시스템 중 하나인 Cisco IOS XE 보안 이슈입니다.
 
cisco IOS XE 소프트웨어의 Web UI에 존재하는 Privilege escalation(CVE-2023-20198)로 CVSS 10.0 등급을 가진 크리티컬한 취약점입니다.
Web UI 기능을 활성화한 IOS XE 계열이 취약합니다.
 
Cisco에서 밝힌 패치 사항은 23.10.22에 게시될 것으로 보입니다.
패치 전까지는 HTTP 서버를 비활성화하거나 회사차원에서는 서비스 접근을 내부 네트워크로 제한하는식으로 조치해야 합니다.
 

---

조치방법

http 서비스 비활성화하는 방법

Router# show running-config | include ip http server|secure|active
ip http server
ip http secure-server

ip http server 명령에 ip http active-session-modules none 일 경우 HTTP 공격 불가능 
ip http secure-server 명령에 ip http secure-active-session-modules none 일 경우 HTTPS 공격 불가능
 

침해탐지 방법

curl -k -X POST "https://systemip/webui/logoutconfirm.html?logon_hash=1"

systemip에 ip를 입력하면서 명령어를 돌리되, request에 대해 16진수로 응답이 올 경우 감염을 의심할 수 있습니다.
 
 
 

---

영향이 끼치는 장비들은 아래 항목과 같습니다.
 

Enterprise swtiches

Catalyst 9000 family
 

Wireless controllers

Catalyst 9800 Series
 

Access points

Catalyst 9100 Series
 

Aggregation Router

ASR 1000 Series
ASR 900 Series
NCS 4200 Series
 

Branch Router

Catalyst 8000 Edge Platforms
ISR 4000 Series
ISR 1000 Series
 

Industrial Router

IR1100 Rugged Series
IR1800 Rugged Series
IR8100 Heavy Duty Series
IR8300 Rugged Series
 

Virtual Routing

Catalyst 8000V Edge
 

Converged broadband routers

CBR Series

---

ref. 
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z

Multiple Vulnerabilities in Cisco IOS XE Software Web UI Feature

 

https://censys.com/cve-2023-20198-cisco-ios-xe-zeroday/

CVE-2023-20198 - Cisco IOS-XE ZeroDay

 

POC
https://github.com/Tounsi007/CVE-2023-20198

GitHub - Tounsi007/CVE-2023-20198: CVE-2023-20198 PoC (!)

 

https://arstechnica.com/security/2023/10/actively-exploited-cisco-0-day-with-maximum-10-severity-gives-full-network-control/
 

“Cisco buried the lede.” >10,000 network devices backdoored through unpatched 0-day