CVE-2023-20198 Cisco Zero Day Signature
12503
Created On 10/18/23 18:37 PM - Last Modified 10/29/24 20:03 PM
Question
CVE-2023-20198 (Vulnérabilité d’élévation de privilèges de l’interface utilisateur Web du logiciel Cisco IOS XE) et leur protection est-elle ?
Environment
PAN-OS
Cisco
Answer
Le 12 octobre, Cisco a découvert l'exploitation active d'une vulnérabilité jusque-là inconnue dans la fonctionnalité d'interface utilisateur Web (Web UI) de son logiciel Cisco IOS XE. Cette vulnérabilité, CVE-2023-20198, présente un risque pour les périphériques physiques et virtuels exécutant le logiciel Cisco IOS XE avec la fonctionnalité de serveur HTTP ou HTTPS activée et connectés à Internet ou à des réseaux non approuvés. S’il réussit à l’exploiter, un attaquant peut créer un compte privilégié de niveau 15 sur l’appareil affecté, ce qui lui confère un contrôle total et peut permettre des activités non autorisées.
Pour résoudre ce problème, Cisco conseille vivement de désactiver la fonctionnalité de serveur HTTP sur les systèmes connectés à Internet, en s’alignant sur les meilleures pratiques et les conseils de la CISA pour gérer les risques associés aux interfaces de gestion exposées à Internet. L’équipe de sécurité des centres d’assistance Cisco a travaillé activement avec son équipe de sécurité pour identifier ces cas spécifiques d’exploitation. Il convient de noter que ces incidents ont été détectés dans quelques cas au cours de leur charge de travail régulière. Compte tenu de la gravité de cette vulnérabilité, il est essentiel que les entités concernées suivent rapidement les étapes décrites dans l'avis PSIRT (Product Security Incident Response Team) de Cisco.
En prenant les mesures nécessaires, les organisations peuvent atténuer les risques potentiels associés à cette vulnérabilité et protéger leurs systèmes et réseaux.
Palo Alto Networks a publié les 3 signatures suivantes associées à la vulnérabilité Cisco dans App&Threat 8766 le 2023-10-17.
94453 - Vulnérabilité de contrôle d'accès cassé dans l'interface utilisateur Web de Cisco IOS XE CVE-2023-20198
94454 - Vulnérabilité d'exécution de code à distance dans l'interface utilisateur Web de Cisco IOS XE CVE-2021-1435
86807 - Détection
du trafic de porte dérobée associée à Cisco IOS XE CVE-2023-20198 Si vous souhaitez plus d'informations sur le fonctionnement de la vulnérabilité, vous pouvez consulter les liens dans la section des références.
Additional Information
Références :
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/
https://nvd.nist.gov/vuln/detail/CVE-2023-20198
https://www.cisa.gov/news-events/directives/binding-operational-directive-23-02