Cisco IOS XE Web UI 命令执行漏洞

受影响版本

Cisco IOS XE全版本

漏洞描述

Cisco IOS XE Web UI 是一种基于GUI的嵌入式系统管理工具，能够提供系统配置、简化系统部署和可管理性以及增强用户体验。它带有默认映像，因此无需在系统上启用任何内容或安装任何许可证。Web UI 可用于构建配置以及监控系统和排除系统故障，而无需CLI专业知识。
2023年10月22日,Cisco发布安全通告，披露了 Cisco IOS XE Web UI 中的一个命令执行漏洞，漏洞编号：CVE-2023-20273，漏洞危害等级：高危。
当Cisco IOS XE 软件的web UI 暴露于互联网或不受信任的网络时，具有管理员权限的攻击者可以利用该漏洞在目标系统上执行任意命令。

漏洞快速排查方法

登录系统并使用show running-config | include ip http server|secure|active 命令，以检查全局配置中是否存在ip http server命令或ip http secure-server命令。如果存在任一命令，则系统将启用 HTTP 服务器功能。

如果存在ip http server命令并且配置还包含ip http active-session-modules none，则无法通过 HTTP 利用这些漏洞。
如果存在ip http secure-server命令并且配置还包含ip http secure-active-session-modules none，则无法通过 HTTPS 利用这些漏洞。

临时防护措施

1.使用命令关闭HTTP Server或者HTTPS Server
no ip http server/no ip http secure-server
2.加强系统和网络的访问控制，修改防火墙策略，不将非必要服务暴露于公网

正式防护方案

1.禁用 HTTP 服务器功能可以消除这些漏洞的攻击媒介，防止此漏洞的影响。
2.在全局配置模式下使用no ip http server或no ip http secure-server命令禁用 HTTP 服务器功能。如果同时使用http 服务器和http-secure 服务器，则需要这两个命令才能禁用 HTTP 服务器功能。
3.将 HTTP 服务器的访问限制为受信任的网络将限制这些漏洞的利用。