介绍
这篇文章是https://www.horizon3.ai/cisco-ios-xe-cve-2023-20198-theory-crafting/的后续文章。
之前,我们研究了影响 Cisco IOS XE 的 CVE-2023-20273 和 CVE-2023-20198 补丁,并确定了攻击者可能用来利用这些漏洞的一些可能向量。现在,借助SECUINFRA FALCON TEAM 的蜜罐,我们对这些漏洞有了进一步的了解。
POC
请参阅下面的示例请求,该请求绕过易受攻击的 IOS-XE 实例的身份验证。此 POC 创建一个名为baduser权限级别 15 的用户。让我们深入了解详细信息。
POC
错误的路径解析
在我们之前的文章中,我们推测攻击者需要以某种方式到达webui_wsma_http或webui_wsma_https端点。该漏洞的关键在于该请求的第一行POST /%2577ebui_wsma_HTTP。这种巧妙的编码webui_wsma_http绕过了上一篇文章中讨论的 Nginx 匹配,并允许我们访问iosd. 现在很明显,Proxy-Uri-Source补丁中添加的标头旨在通过设置默认标头值global和webui_internal合法请求来防止攻击者访问 WSMA 服务。
Web 服务管理代理 (WMSA)
Web 服务管理代理允许您通过 SOAP 请求执行命令并配置系统。Cisco 的文档提供了我们可以用来访问配置功能的示例 SOAP 请求。从这里,我们可以通过发送 CLI 命令轻松创建权限级别为 15 的新用户username <user> privilege 15 secret <password>。运行 POC 后,我们可以检查Administration -> User AdministrationUI 中的面板来查看我们的新用户。
新用户证明
概括
从这里开始,攻击将使用 CVE-2023-20273 提升 root 权限并将植入物写入磁盘。然而,即使没有 CVE-2023-20273,此 POC 本质上也可以完全控制设备。思科修复这个漏洞的方法似乎有点不合常规。我们希望他们能够修复路径解析漏洞,而不是添加新的标头。这让我们想知道是否还有其他隐藏的端点可以通过此方法到达。
评论