VARSEL (TLP:CLEAR)

[JustisCERT-varsel] [#079-2023] [TLP:CLEAR] Kritisk sårbarhet i Cisco IOS XE

17-10-2023

JustisCERT ønsker å varsle om en kritisk sårbarhet (CVE-2023-20198 med CVSS-score 10.0) publisert 16.10.2023. Sårbarheten berører programvaren Cisco IOS XE sitt webgrensesnitt (Web UI). Dersom webgrensesnittet er aktivert (tilgjengelig på HTTP eller HTTPS) kan en uautentisert angriper opprette en egen administratorkonto og ta kontroll over et berørt system. Cisco er kjent med at sårbarheten aktivt blir utnyttet og anbefaler å skru av webgrensesnittet umiddelbart. Cisco anbefaler å undersøke om systemer som har vært eksponert (f.eks. på internett) har blitt kompromittert. [1]

 

Cisco har publisert en veiledning for å skru av webgrensesnittet (Web UI). Det finnes foreløpig ingen oppdatering som retter sårbarheten. [2]

 


Berørte produkter er blant annet:

  • Cisco IOS XE (med Web UI aktivert)

 


Anbefalinger:

  • Utfør mitigerende tiltak
  • Undersøk om berørte løsninger har blitt kompromittert og iverksett nødvendige tiltak dersom dette er tilfellet
  • Patch/oppdater berørte produkter så snart det er mulig
  • Skru på automatisk oppdatering der det er mulig
  • Avinstaller programvare som ikke benyttes
  • Fas ut software/hardware som ikke kan oppdateres og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
  • Prioriter systemer som kan nås fra internett og andre nett som virksomheten ikke stoler på først
  • Prioriter systemer som håndterer viktige data (f.eks. personopplysninger) eller på annen måte er viktige for virksomheten
  • Sørg for at virksomhetens tjenester (enten de er eksponert kun internt i eget nett eller på internett) kun kan nås av ønskede ressurser
  • Bruk multifactor authentication (MFA), minimum på alle påloggingstjenester eksponert på internett og nett som virksomheten ikke stoler på
  • Begrens hvem som kan nå internetteksponerte løsninger ved bruk av Geo-blokking (tillat f.eks. Norge dersom tjenesten kun skal nås derfra) eller begrens den til kun ønskede IP-adresser
  • Begrens hvilke IP-adresser som kan administrere en løsning til f.eks. kun de faste interne IPene som administratorer av løsningen benytter
  • Aktiver IPS-signaturer/DNS-filtrering/annen beskyttelse i brannmurer/nettet som kan bidra til å beskytte internetteksponerte løsninger
  • Sørg for nødvendig segmentering (skill som minimum servere, klienter, printere, IOT-enheter og sørg for at kun nødvendig trafikk er tillatt mellom disse). Sperr for all direktetrafikk mellom klienter.
  • Skru av alle funksjoner/tjenester som ikke benyttes/er nødvendig for daglig drift (skru de eventuelt kun på når du trenger de)
  • Skru av alle usikre/utgåtte funksjoner (f.eks. TLS v1.0 og v1.1, SMBv1, NTLMv1, FTP, Telnet, SNMP v1 og v2, POP, IMAP, NetBIOS, LLMNR, HTTP)
  • Følg NSM Grunnprinsipper for IKT-sikkerhet [3]
  • Følg anbefalingene fra Cybersecurity & Infrastructure Security Agency (CISA) [4] 

 


Kilder:
[1] https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/
[2] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z
[3] https://nsm.no/grunnprinsipper-ikt
[4] https://www.cisa.gov/shields-up