Cisco IOS XE Web UI 命令执行漏洞

Cisco IOS XE Web UI 命令执行漏洞

受影响版本

Cisco IOS XE全版本

漏洞描述

Cisco IOS XE Web UI 是一种基于GUI的嵌入式系统管理工具,能够提供系统配置、简化系统部署和可管理性以及增强用户体验。它带有默认映像,因此无需在系统上启用任何内容或安装任何许可证。Web UI 可用于构建配置以及监控系统和排除系统故障,而无需CLI专业知识。
2023年10月22日,Cisco发布安全通告,披露了 Cisco IOS XE Web UI 中的一个命令执行漏洞,漏洞编号:CVE-2023-20273,漏洞危害等级:高危。

当Cisco IOS XE 软件的web UI 暴露于互联网或不受信任的网络时,具有管理员权限的攻击者可以利用该漏洞在目标系统上执行任意命令。

漏洞快速排查方法

登录系统并使用show running-config | include ip http server|secure|active 命令,以检查全局配置中是否存在ip http server命令或ip http secure-server命令。如果存在任一命令,则系统将启用 HTTP 服务器功能。

如果存在ip http server命令并且配置还包含ip http active-session-modules none,则无法通过 HTTP 利用这些漏洞。

如果存在ip http secure-server命令并且配置还包含ip http secure-active-session-modules none,则无法通过 HTTPS 利用这些漏洞。

临时防护措施

1.使用命令关闭HTTP Server或者HTTPS Server
no ip http server/no ip http secure-server

2.加强系统和网络的访问控制,修改防火墙策略,不将非必要服务暴露于公网

正式防护方案

1.禁用 HTTP 服务器功能可以消除这些漏洞的攻击媒介,防止此漏洞的影响。

2.在全局配置模式下使用no ip http server或no ip http secure-server命令禁用 HTTP 服务器功能。如果同时使用http 服务器和http-secure 服务器,则需要这两个命令才能禁用 HTTP 服务器功能。

3.将 HTTP 服务器的访问限制为受信任的网络将限制这些漏洞的利用。

相关推荐
其实防守也摸鱼2 小时前
运维--ip单日获取去重数据量超过500条
运维·学习·tcp/ip·安全·web安全·安全威胁分析·工具
其实防守也摸鱼2 天前
运维--安全与数据库
网络·数据库·学习·安全·安全威胁分析·数据库架构·软件安全
其实防守也摸鱼3 天前
渗透--损坏的对象级别鉴权漏洞(Broken Object Level Authorization, BOLA)
大数据·网络·数据库·学习·tcp/ip·安全·安全威胁分析
其实防守也摸鱼6 天前
运维--自动化与容器技术(现代运维标配)
linux·运维·服务器·容器·自动化·安全威胁分析·命令模式
liguojun20257 天前
篮球馆自动计时收费系统:从规则配置到自动结算的全流程拆解
java·大数据·运维·人工智能·物联网·1024程序员节
2301_780303908 天前
网络安全、自动化运维、ERP、CRM、MES
运维·web安全·网络安全·自动化·安全威胁分析
Chockmans12 天前
春秋云境CVE-2021-42897(保姆级教学)
计算机网络·安全·web安全·网络安全·安全威胁分析·春秋云境·cve-2021-42897
HavenlonLabs13 天前
Havenlon 对抗性完整(十七):安全不是“防住攻击”,而是控制失败方式
网络·人工智能·架构·安全威胁分析·安全架构·havenlon
HavenlonLabs14 天前
Havenlon 思考录(十一):系统的冷,不是对人,而是对风险
人工智能·安全威胁分析·安全架构·havenlon
X7x51 个月前
深度拆解网络安全“闭环”之王——APPDRR模型
网络安全·网络攻击模型·安全威胁分析·安全架构·appdrr模型