Risques
- Contournement de la politique de sécurité
- Exécution de code arbitraire à distance
- Élévation de privilèges
Systèmes affectés
- Cisco IOS XE si l'interface Web de gestion est accessible
- IOS XE sur Catalyst 3650 et 3850 versions 16.12.x antérieures à 16.12.10a
- IOS XE versions 17.3.x antérieures à 17.3.8a
- IOS XE versions 17.6.x antérieures à 17.6.6a
- IOS XE versions 17.9.x antérieures à 17.9.4a
Résumé
[Mise à jour du 02 novembre 2023]
La version 17.3.8a est disponible.
[Mise à jour du 31 octobre 2023]
Les détails techniques de la vulnérabilité CVE-2023-20198 sont désormais disponibles publiquement. Cette vulnérabilité était déjà massivement exploitée. Tous les équipements exposant l'interface de gestion Web d'IOS XE doivent être considérés comme compromis.
[Mise à jour du 30 octobre 2023]
Les versions 17.6.6a et 16.12.10a sont disponibles.
[Mise à jour du 23 octobre 2023]
Le 22 octobre 2023, Cisco a mis à jour son avis de sécurité pour ajouter la vulnérabilité CVE-2023-20273. Celle-ci est activement exploitée par les attaquants pour élever leurs privilèges à root après avoir créé un utilisateur de niveau 15. Cela leur permet de placer un implant sur le système de fichiers de l'équipement.
La version 17.9.4a corrige ces vulnérabilités pour la branche 17.9.x. La date de disponibilité des autres correctifs n'a pas été annoncée.
[Publication initiale]
Le 16 octobre 2023, Cisco a publié un avis de sécurité concernant la vulnérabilité CVE-2023-20198 affectant l'interface Web de gestion d'IOS XE (webui). Cette vulnérabilité permet à un attaquant non authentifié de créer un utilisateur disposant des privilèges de niveau 15. Cela donne accès à toutes les commandes et la possibilité de modifier la configuration de l'équipement vulnérable, ce qui revient à en prendre le contrôle complet. Le score CVSSv3 de cette vulnérabilité est de 10 (sur 10).
Cisco n'a pas encore publié de correctifs de sécurité pour la vulnérabilité CVE-2023-20198. De plus, l'éditeur indique que cette vulnérabilité est activement exploitée.
L'avis de l'éditeur documente les indicateurs de compromission permettant de rechercher des éventuelles exploitations de cette vulnérabilité.
Contournement provisoire
Dans l'attente des correctifs de sécurité, Cisco recommande de vérifier les configurations des différents équipements et de désactiver complétement l'interface webui (en HTTP et HTTPS) si celle-ci est activée.
Le CERT-FR rappelle que les interfaces de gestion ne doivent être accessibles que depuis un réseau d'administration sécurisé. Se référer aux recommandations de l'ANSSI relatives à l'administration sécurisée des systèmes d'information (cf. section Documentation)
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Cisco cisco-sa-iosxe-webui-privesc-j22SaA4z du 16 octobre 2023 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z
- Avis CERT-FR CERTFR-2023-AVI-0878 du 23 octobre 2023 https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0878/
- Recommandations de l'ANSSI relatives à l'administration sécurisée des systèmes d'information https://www.ssi.gouv.fr/uploads/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf
- Référence CVE CVE-2023-20198 https://www.cve.org/CVERecord?id=CVE-2023-20198
- Référence CVE CVE-2023-20273 https://www.cve.org/CVERecord?id=CVE-2023-20273