Cisco IOS XE CVE-2023-20198:深入分析和 POC
2023-10-31 18:54:41 Author: mp.weixin.qq.com(查看原文) 阅读量:29 收藏

这篇文章是https://www.horizon3.ai/cisco-ios-xe-cve-2023-20198-theory-crafting/的后续文章。

之前,我们研究了影响 Cisco IOS XE 的 CVE-2023-20273 和 CVE-2023-20198 补丁,并确定了攻击者可能用来利用这些漏洞的一些可能向量。现在,借助SECUINFRA FALCON TEAM 的蜜罐,我们对这些漏洞有了进一步的了解。

请参阅下面的示例请求,该请求绕过易受攻击的 IOS-XE 实例的身份验证。此 POC 创建一个名为baduser权限级别 15 的用户。让我们深入了解详细信息。

POC

在我们之前的文章中,我们推测攻击者需要以某种方式到达webui_wsma_httpwebui_wsma_https端点。该漏洞的关键在于该请求的第一行POST /%2577ebui_wsma_HTTP。这种巧妙的编码webui_wsma_http绕过了上一篇文章中讨论的 Nginx 匹配,并允许我们访问iosd. 现在很明显,Proxy-Uri-Source补丁中添加的标头旨在通过设置默认标头值globalwebui_internal合法请求来防止攻击者访问 WSMA 服务。

Web 服务管理代理允许您通过 SOAP 请求执行命令并配置系统。Cisco 的文档提供了我们可以用来访问配置功能的示例 SOAP 请求。从这里,我们可以通过发送 CLI 命令轻松创建权限级别为 15 的新用户username <user> privilege 15 secret <password>

运行 POC 后,我们可以检查Administration -> User AdministrationUI 中的面板来查看我们的新用户。

用户证明
从这里开始,攻击将使用 CVE-2023-20273 提升 root 权限并将植入物写入磁盘。然而,即使没有 CVE-2023-20273,此 POC 本质上也可以完全控制设备。思科修复这个漏洞的方法似乎有点不合常规。
我们希望他们能够修复路径解析漏洞,而不是添加新的标头。这让我们想知道是否还有其他隐藏的端点可以通过此方法到达。

文章来源: https://mp.weixin.qq.com/s?__biz=MzA5ODA0NDE2MA==&mid=2649785729&idx=1&sn=87d830fc6af27a3801b2e1fe9001559a&chksm=8893b5eebfe43cf87d26162dc647772b9cdef0abc53e2b1ec9585daeac82b61f8969b0a33264&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh