Cisco IOS XE 是思科（Cisco）公司的一个操作系统，用于驱动其网络设备和路由器。它是一个在Cisco设备上运行的网络操作系统，旨在提供高性能、可扩展性和安全性，以满足不同规模和类型的网络需求。

2023年10月20日，深信服安全团队监测到一则Cisco IOS X的Web UI组件存在权限提升漏洞的信息，漏洞编号：CVE-2023-20198，漏洞威胁等级：严重。

当暴露于互联网或不受信任的网络时，Cisco IOS XE 软件的 Web UI 功能中的一个先前未知的漏洞会被主动利用。该漏洞允许未经身份验证的远程攻击者在受影响的系统上创建具有 15 级访问权限的帐户。然后，攻击者可以使用该帐户来控制受影响的系统。

启用了Web UI 功能的Cisco IOS XE。

1.检测方案

要确定系统是否启用了 HTTP 服务器功能，请登录系统并在CLI中使用" show running-config | include ip http server|secure|active" 命令检查全局配置中是否存在 "ip http server"命令或 "ip http secure-server" 命令。如果存在这两条命令，则表示系统已启用 HTTP 服务器功能，代表该系统受影响。

如果存在ip http server命令，且配置中还包含ip http active-session-modules none，则无法通过 HTTP 利用该漏洞。

如果存在ip http secure-server命令，且配置还包含ip http secure-active-session-modules none，则无法通过 HTTPS 利用该漏洞。

2.缓解方案

目前官方暂未发布安全更新，受影响用户可以禁用 HTTP/HTTPS 服务器功能，如果业务需要可以将这些功能部署于受信任网络。如果启用HTTP Server或者HTTPS Server可以使用以下命令进行关闭：

no ip http server/no ip http secure-server

1.漏洞主动扫描

支持对Cisco IOS XE Web UI 权限提升漏洞(CVE-2023-20198)的主动扫描，可批量快速检出业务场景中是否存在漏洞风险，相关产品如下：

【深信服云镜YJ】预计2023年10月21日发布扫描方案。

【深信服漏洞评估工具TSS】预计2023年10月23日发布扫描方案。

【深信服安全托管服务MSS】预计2023年10月23日发布扫描方案。（需要具备TSS组件能力）。

【深信服安全检测与响应平台XDR】预计2023年10月21日发布扫描方案。（需要具备云镜组件能力）。

https://arstechnica.com/security/2023/10/actively-exploited-cisco-0-day-with-maximum-10-severity-gives-full-network-control/

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z

https://www.darkreading.com/vulnerabilities-threats/critical-unpatched-cisco-zero-day-bug-active-exploit

深信服监测到Cisco IOS XE Web UI 权限提升漏洞(CVE-2023-20198)攻击信息。

深信服千里目安全技术中心发布漏洞通告。

点击阅读原文，及时关注并登录深信服智安全平台，可轻松查询漏洞相关解决方案。