Cisco IOS XE CVE-2023-20198:深入分析和 POC

渗透技巧 9个月前 admin
268 0 0

介绍

这篇文章是https://www.horizon3.ai/cisco-ios-xe-cve-2023-20198-theory-crafting/的后续文章。

之前,我们研究了影响 Cisco IOS XE 的 CVE-2023-20273 和 CVE-2023-20198 补丁,并确定了攻击者可能用来利用这些漏洞的一些可能向量。现在,借助SECUINFRA FALCON TEAM 的蜜罐,我们对这些漏洞有了进一步的了解。

POC

请参阅下面的示例请求,该请求绕过易受攻击的 IOS-XE 实例的身份验证。此 POC 创建一个名为baduser权限级别 15 的用户。让我们深入了解详细信息。

Cisco IOS XE CVE-2023-20198:深入分析和 POC

POC

错误的路径解析

在我们之前的文章中,我们推测攻击者需要以某种方式到达webui_wsma_httpwebui_wsma_https端点。该漏洞的关键在于该请求的第一行POST /%2577ebui_wsma_HTTP。这种巧妙的编码webui_wsma_http绕过了上一篇文章中讨论的 Nginx 匹配,并允许我们访问iosd. 现在很明显,Proxy-Uri-Source补丁中添加的标头旨在通过设置默认标头值globalwebui_internal合法请求来防止攻击者访问 WSMA 服务。

Web 服务管理代理 (WMSA)

Web 服务管理代理允许您通过 SOAP 请求执行命令并配置系统。Cisco 的文档提供了我们可以用来访问配置功能的示例 SOAP 请求。从这里,我们可以通过发送 CLI 命令轻松创建权限级别为 15 的新用户username <user> privilege 15 secret <password>

运行 POC 后,我们可以检查Administration -> User AdministrationUI 中的面板来查看我们的新用户。

Cisco IOS XE CVE-2023-20198:深入分析和 POC
用户证明

概括

从这里开始,攻击将使用 CVE-2023-20273 提升 root 权限并将植入物写入磁盘。然而,即使没有 CVE-2023-20273,此 POC 本质上也可以完全控制设备。思科修复这个漏洞的方法似乎有点不合常规。
我们希望他们能够修复路径解析漏洞,而不是添加新的标头。这让我们想知道是否还有其他隐藏的端点可以通过此方法到达。

原文始发于微信公众号(安全客):Cisco IOS XE CVE-2023-20198:深入分析和 POC

版权声明:admin 发表于 2023年10月31日 下午6:55。
转载请注明:Cisco IOS XE CVE-2023-20198:深入分析和 POC | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...