Lundi 16 octobre 2023, Cisco a publié les informations techniques de deux vulnérabilités référencées CVE-2023-20198 et CVE-2023-20273, qui permettent à un utilisateur malveillant de prendre le contrôle total d’un équipement dont le système d’exploitation est sous Cisco IOS XE.
Ces vulnérabilités ont été confirmées le mardi 17 octobre 2023 par l’Agence Nationale de la Sécurité des Systèmes d’Information, dans le bulletin d’alerte CERTFR-2023-ALE-011 du CERT-FR.
La CVE-2023-20198 permet à un attaquant de créer un compte utilisateur sur la cible, tandis que la CVE-2023-20273 permet ensuite d’élever les privilèges de ce nouveau compte pour devenir administrateur complet de l’équipement Cisco IOS XE.
Cet article se propose de centraliser les informations disponibles, et d’indiquer comment détecter et corriger cette vulnérabilité.
CVE-2023-20198 était une vulnérabilité Cisco de type Zero-Day, car publiée initialement sans correctif de sécurité
Le 16 octobre 2023, Cisco a publié sur son blog Talos un article sur une vulnérabilité activement exploitée par des pirates, référencée CVE-2023-20198, touchant Cisco IOS XE lorsque l’interface web (serveur HTTP / HTTPS) est activée.
Cette vulnérabilité permet de créer un compte utilisateur à distance sur l’équipement, sans authentification préalable.
Après analyse des attaques mentionnées sur Talos, Cisco a identifié la présence d’une deuxième vulnérabilité CVE-2023-20273, qui permet d’élever les privilèges du nouveau compte et de prendre le contrôle total de la cible attaquée.
Comment fonctionne les vulnérabilités Cisco IOS XE CVE-2023-20198 et CVE-2023-20273 ?
Les détails des kits d’attaques (exploits) des vulnérabilités Cisco IOS XE CVE-2023-20198 et CVE-2023-20273 ne sont pas encore documentés.
Quel est l’impact des CVE-2023-20198 et CVE-20273 ?
La vulnérabilité Cisco IOS XE CVE-2023-20198 permet de créer un compte utilisateur sur la cible attaquée.
La vulnérabilité Cisco IOS XE CVE-2023-20273 permet ensuite d’élever ses privilèges et de prendre le contrôle total de la cible.
Quelles sont les versions Cisco IOS XE affectées par les vulnérabilités CVE-2023-20198 et CVE-2023-20273 ?
Les versions Cisco IOS XE vulnérables sont :
- Branche 17.9 avant 17.9.4a ;
- Branche 17.6 avant 17.6.6a ;
- Branche 17.3 avant 17.3.8a ;
- Branche 16.12 avant 16.12.10a.
Toutes les versions Cisco IOS XE vulnérables dont la fonctionnalité « interface web » (serveur HTTP / HTTPS) est activée, sont alors exploitables.
Comment corriger les vulnérabilités Cisco IOS XE CVE-2023-20198 et CVE-2023-20273 ?
Cisco recommande de déployer dès que possibles les correctifs de sécurité 17.9.4a, ou 17.6.6a, ou 17.3.8a, ou 16.12.10a selon la branche logicielle de votre équipement.
Cisco recommande aussi de désactiver l’interface web via les configurations no ip http server et no ip http secure-server.
Cette recommandation est partagée par l’ANSSI dans son bulletin CERTFR-2023-ALE-011, qui rappelle aussi que les interfaces de gestion ne doivent être accessibles que depuis un réseau d’administration sécurisé. Ici, l’interface web de ces équipements devrait donc avoir des accès restreints.
Comment détecter les vulnérabilités Cisco IOS XE CVE-2023-20198 et CVE-2023-20273 ?
Si vous utilisez Cisco IOS XE dans une des versions affectées, la vulnérabilité est présente votre système. Si vous avez activé les serveurs HTTP ou HTTPS (ip http server ou ip http secure-server), les vulnérabilités CVE-2023-20198 et CVE-2023-20273 sont alors exploitables par toute personne ayant un accès à cette interface web.
Les utilisateurs de Cyberwatch Vulnerability Manager peuvent également consulter la liste de leurs équipements vulnérables directement dans l’interface, sur la fiche de la vulnérabilité.
Comment savoir si mon équipement Cisco a été compromis ?
Cyberwatch vous recommande de consulter la fiche détaillée de Cisco à cet effet, section « Indicators of Compromise ».