{"id":49001,"date":"2023-10-18T11:17:16","date_gmt":"2023-10-18T09:17:16","guid":{"rendered":"https:\/\/dev.secuinfra.com\/?p=49001"},"modified":"2025-01-23T12:16:50","modified_gmt":"2025-01-23T11:16:50","slug":"cisco-ios-xe-schwachstelle-cve-2023-20198-tausende-internet-exponierte-appliances-wohl-bereits-kompromittiert","status":"publish","type":"post","link":"https:\/\/testing.secuinfra.com\/de\/techtalk\/cisco-ios-xe-schwachstelle-cve-2023-20198-tausende-internet-exponierte-appliances-wohl-bereits-kompromittiert\/","title":{"rendered":"Cisco IOS XE Schwachstelle CVE-2023-20198 \u2013 tausende Internet-exponierte Appliances wohl bereits kompromittiert!"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_83 counter-flat ez-toc-counter ez-toc-white ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">[inhalt_uebersetzt]<\/p>\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/cisco-ios-xe-schwachstelle-cve-2023-20198-tausende-internet-exponierte-appliances-wohl-bereits-kompromittiert\/#Aktualisierungen\" >Aktualisierungen<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/cisco-ios-xe-schwachstelle-cve-2023-20198-tausende-internet-exponierte-appliances-wohl-bereits-kompromittiert\/#Was_bisher_bekannt_ist\" >Was bisher bekannt ist<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/cisco-ios-xe-schwachstelle-cve-2023-20198-tausende-internet-exponierte-appliances-wohl-bereits-kompromittiert\/#Betroffene_Geraete\" >Betroffene Ger\u00e4te<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/cisco-ios-xe-schwachstelle-cve-2023-20198-tausende-internet-exponierte-appliances-wohl-bereits-kompromittiert\/#Indicators_of_Compromise\" >Indicators of Compromise<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/cisco-ios-xe-schwachstelle-cve-2023-20198-tausende-internet-exponierte-appliances-wohl-bereits-kompromittiert\/#Mitigationen\" >Mitigationen<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/cisco-ios-xe-schwachstelle-cve-2023-20198-tausende-internet-exponierte-appliances-wohl-bereits-kompromittiert\/#Wie_wir_helfen_koennen\" >Wie wir helfen k\u00f6nnen<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/cisco-ios-xe-schwachstelle-cve-2023-20198-tausende-internet-exponierte-appliances-wohl-bereits-kompromittiert\/#Weitere_Ressourcen\" >Weitere Ressourcen<\/a><\/li><\/ul><\/nav><\/div>\n\n<p class=\"wp-block-paragraph\">Edge-Infrastruktur wie Firewalls, Router, VPN-Gateways usw., die aus dem Internet erreichbar sind, sind ein h\u00e4ufiges Ziel f\u00fcr Cyberkriminelle und Spionageakteure, da diese Ger\u00e4te schwer zu verteidigen sind.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Nach Angaben des Schwachstellenerkennungsdienstes LeakIx k\u00f6nnten bereits <a  href=\"https:\/\/twitter.com\/leak_ix\/status\/1714342183141028307\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >30 Tausend internetf\u00e4hige Cisco-Ger\u00e4te<\/a> durch die Zero-Day-Schwachstelle <a  href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-20198\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >CVE-2023-20198<\/a> kompromittiert worden sein. Internet-Zensus-Anbieter wie Shodan gehen davon aus, dass derzeit etwa 150.000 Cisco IOS XE-Ger\u00e4te dem Internet ausgesetzt sind. Jedes verwundbare Ger\u00e4t, das noch nicht kompromittiert ist, wird in den n\u00e4chsten Minuten, Stunden oder Tagen angegriffen werden\u2026<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) stuft <a  href=\"https:\/\/www.bsi.bund.de\/SharedDocs\/Cybersicherheitswarnungen\/DE\/2023\/2023-275141-1032\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >die Bedrohungslage derzeit als Stufe 2 \/ Gelb<\/a> ein, was auf ein m\u00f6gliches vor\u00fcbergehendes Risiko f\u00fcr den Gesch\u00e4ftsbetrieb hinweist.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Aktualisierungen\"><\/span>Aktualisierungen<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Besuchen Sie unser <a  href=\"https:\/\/twitter.com\/SI_FalconTeam\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >Twitter-Profil (X)<\/a> f\u00fcr die neuesten Updates!<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>21. Oktober:<\/strong> <a  href=\"https:\/\/dashboard.shadowserver.org\/statistics\/combined\/time-series\/?date_range=7&amp;source=compromised_website&amp;source=compromised_website6&amp;tag=device-implant%2B&amp;group_by=geo&amp;style=stacked\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >Shadowserver hat einen signifikanten R\u00fcckgang<\/a> der aktiven Implants im Internet <a  href=\"https:\/\/dashboard.shadowserver.org\/statistics\/combined\/time-series\/?date_range=7&amp;source=compromised_website&amp;source=compromised_website6&amp;tag=device-implant%2B&amp;group_by=geo&amp;style=stacked\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >festgestellt<\/a>. Dies wurde sp\u00e4ter auf \u00c4nderungen im Implant-Code zur\u00fcckgef\u00fchrt, die den derzeitigen Erkennungsmechanismus umgehen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>23. Oktober:<\/strong> <a  href=\"https:\/\/sec.cloudapps.cisco.com\/security\/center\/content\/CiscoSecurityAdvisory\/cisco-sa-iosxe-webui-privesc-j22SaA4z\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >Cisco best\u00e4tigt<\/a> eine zweite Sicherheitsl\u00fccke<a  href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-20273\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >(CVE-2023<\/a>-20273), die das Einf\u00fcgen des Implants in die Datei &#8222;cisco_service.conf&#8220; erm\u00f6glicht. Cisco hat einen Patch f\u00fcr die aktuelle Version von IOS XE 17.9 ver\u00f6ffentlicht. <a  href=\"https:\/\/twitter.com\/foxit\/status\/1716472673876730149\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >Fox-IT entdeckte eine \u00c4nderung im Implant-Code<\/a>, die \u00fcber das Wochenende ausgerollt wurde und einen Authentifizierungsstring erfordert, wir best\u00e4tigten eine <a  href=\"https:\/\/twitter.com\/SI_FalconTeam\/status\/1716497899821941230\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >Variante der 404-T\u00e4uschungsseite<\/a>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>28. Oktober:<\/strong> <a  href=\"https:\/\/twitter.com\/SI_FalconTeam\/status\/1718346358950711807\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >Das SECUINFRA Falcon Team hat einen neuen Exploit-Versuch identifiziert<\/a>, der dem urspr\u00fcnglichen Angreifer zugeschrieben wird. <a href=\"https:\/\/testing.secuinfra.com\/en\/news\/cisco-ios-xe-exploit-secuinfra-catches-attackers\/\">Wir haben unsere Erkenntnisse mit anderen Netzwerksicherheitsexperten geteilt<\/a>, um die Entwicklung neuer Erkennungsmechanismen zu unterst\u00fctzen. Details \u00fcber das Innenleben der beiden Schwachstellen sind nun \u00f6ffentlich, siehe die Blogbeitr\u00e4ge von <a  href=\"https:\/\/www.horizon3.ai\/cisco-ios-xe-cve-2023-20198-deep-dive-and-poc\/\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >Horizon3<\/a> und <a  href=\"https:\/\/blog.leakix.net\/2023\/10\/cisco-root-privesc\/\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >LeakIX<\/a>. Mit \u00f6ffentlichen Proof-of-Concepts wird die Zahl der Ausnutzungsversuche f\u00fcr ungepatchte Ger\u00e4te steigen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Nov 03:<\/strong> Wir haben <a  href=\"https:\/\/twitter.com\/SI_FalconTeam\/status\/1720893479830630803\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >eine dritte Version des Lua-Implantats<\/a> erbeutet, die wiederum dem urspr\u00fcnglichen Angreifer zugeschrieben wird. Sie f\u00fchrten einen weiteren HTTP-Header-Wert ein, um den Zugriff auf das Implantat zu beschr\u00e4nken und das Fingerprinting anf\u00e4lliger Ger\u00e4te erneut zu unterbrechen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Was_bisher_bekannt_ist\"><\/span>Was bisher bekannt ist<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die Authentication Bypass-Schwachstelle CVE-2023-20198 wird mit einem CVSS V3-Wert von 10,0 (der h\u00f6chstm\u00f6glichen Punktzahl) bewertet. Sie erm\u00f6glicht es einem nicht authentifizierten Angreifer, der die Web-UI-Funktion ausnutzt, um auf eine interne API zuzugreifen und z. B. ein Administratorkonto mit der Berechtigungsstufe 15 (wiederum die h\u00f6chstm\u00f6gliche) zu erstellen. Mit diesem Zugriff kann ein Angreifer die vollst\u00e4ndige Kontrolle \u00fcber das Ger\u00e4t erlangen, was bedeutet, dass alle darauf befindlichen Daten und das Ger\u00e4t selbst als vollst\u00e4ndig kompromittiert betrachtet werden sollten.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Webshell \/ Implant wird \u00fcber eine Befehlsinjektionsschwachstelle CVE-2023-20273 in der Funktion <code>installAdd<\/code> installiert, die durch eine unsachgem\u00e4\u00dfe Eingabevalidierung des Parameters ipaddress verursacht wird.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">In einem Technical Advisory beschreibt Cisco Talos eine Lua Webshell\/Implant, die nach automatischer Ausnutzung der Schwachstelle in die Konfiguration der betroffenen Ger\u00e4te eingef\u00fcgt wurde. Sie erlaubt den Angreifern, IOX-Befehle mit der Privilegstufe 15 auszuf\u00fchren und dadurch beliebige Systemkonfigurationseinstellungen zu \u00e4ndern. Das Implantat bleibt nach einem Neustart der Appliance nicht erhalten.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img fetchpriority=\"high\" decoding=\"async\" width=\"962\" height=\"625\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Lua-WebshellImplant-V1.png\" alt=\"\" class=\"wp-image-56625\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Lua-WebshellImplant-V1.png 962w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Lua-WebshellImplant-V1-800x520.png 800w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Lua-WebshellImplant-V1-768x499.png 768w\" sizes=\"(max-width: 962px) 100vw, 962px\" \/><figcaption class=\"wp-element-caption\"><em>Abbildung 1: Lua Webshell\/Implant V1 (Quelle: Cisco Talos)<\/em><\/figcaption><\/figure>\n\n\n\n<p class=\"has-text-align-center wp-block-paragraph\"><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Unten sehen Sie Screenshots der dritten Version des Implantats, die am 3. November aufgenommen wurden:<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1600\" height=\"785\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/abbildung2-1600x785.jpg\" alt=\"\" class=\"wp-image-56741\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/abbildung2-1600x785.jpg 1600w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/abbildung2-800x392.jpg 800w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/abbildung2-768x377.jpg 768w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/abbildung2-1536x753.jpg 1536w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/abbildung2-2048x1004.jpg 2048w\" sizes=\"(max-width: 1600px) 100vw, 1600px\" \/><figcaption class=\"wp-element-caption\"><em>Abbildung 2: Lua Webshell\/Implant V3 (Quelle: SECUINFRA Falcon Team)<\/em><\/figcaption><\/figure>\n\n\n\n<p class=\"has-text-align-center wp-block-paragraph\"><\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Betroffene_Geraete\"><\/span>Betroffene Ger\u00e4te<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Zum Zeitpunkt der Erstellung des <a  href=\"https:\/\/sec.cloudapps.cisco.com\/security\/center\/content\/CiscoSecurityAdvisory\/cisco-sa-iosxe-webui-privesc-j22SaA4z\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >Cisco-Advisorys<\/a> gibt es noch keine genaue \u00dcbersicht \u00fcber die betroffenen IOS XE-Versionen oder -Ger\u00e4te, sondern nur die Information, dass die Schwachstelle sowohl auf physischen als auch auf virtualisierten Appliances vorhanden sein kann. Betroffen sind <a  href=\"https:\/\/www.cisco.com\/c\/en\/us\/products\/ios-nx-os-software\/ios-xe\/index.html#~products\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >laut Cisco-Dokumentation<\/a> unter anderem Enterprise-Switches, Wireless-Controller, Access-Points und eine breite Auswahl an Router-Produkten, z.B. aus der Catalyst-, ASR-, CSR-, CBR-, ISR-, IR- und NCS-Serie.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Indicators_of_Compromise\"><\/span>Indicators of Compromise<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Bereitgestellt von Cisco<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Bei der automatisierten Ausnutzung von Cisco-Appliances verwenden Bedrohungsakteure derzeit die folgenden Benutzernamen bei der Erstellung von Administratorkonten: cisco_tac_admin cisco_support<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das Admin-Panel und die Systemprotokolle der m\u00f6glicherweise kompromittierten Appliances sollten auf neu erstellte und unbekannte Benutzerkonten \u00fcberpr\u00fcft werden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Es wurden aktuell zwei Systeme beobachtet, die aktiv nach dieser Schwachstelle suchen bzw. sie ausnutzen, wobei diese Zahl wahrscheinlich schnell steigen wird. 5.149.249[.]74 154.53.56[.]231<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Mit dem folgenden Befehl (ersetzen Sie DEVICEIP durch die IP-Adresse Ihrer Appliance) k\u00f6nnen Administratoren pr\u00fcfen, ob das Implantat auf der Appliance vorhanden ist. Wenn eine hexadezimale Zeichenfolge zur\u00fcckgegeben wird, kann dies darauf hindeuten, dass das Ger\u00e4t bereits kompromittiert wurde. curl -k -X POST &#8222;https[:]\/\/DEVICEIP\/webui\/logoutconfirm.html?logon_hash=1&#8220;<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Erkenntnisse aus unseren Honeypots<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Wir verwenden Honeypots mit verschiedenen Softwareversionen, um die Angriffsaktivit\u00e4ten zu messen und Einblicke in die TTPs der Angreifer zu gewinnen. Als Beitrag zu den Erkennungs- und Forschungsbem\u00fchungen der breiteren Cybersicherheits-Community ver\u00f6ffentlichen wir die erfassten Exploit-Protokolle in unserem <a  href=\"https:\/\/github.com\/SIFalcon\/research\/tree\/main\/CVE-2023-20198\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >Research<\/a> GitHub Repository. Nachstehend finden Sie einen \u00dcberblick \u00fcber unsere aktuelle Honeypot-Infrastruktur:<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1600\" height=\"1224\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/abbildung3-1600x1224.png\" alt=\"\" class=\"wp-image-56744\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/abbildung3-1600x1224.png 1600w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/abbildung3-800x612.png 800w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/abbildung3-768x587.png 768w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/abbildung3-1536x1175.png 1536w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/abbildung3-2048x1566.png 2048w\" sizes=\"(max-width: 1600px) 100vw, 1600px\" \/><figcaption class=\"wp-element-caption\"><em>Abbildung 3: Unsere aktuelle Honeypot-Einrichtung<\/em><\/figcaption><\/figure>\n\n\n\n<p class=\"has-text-align-center wp-block-paragraph\"><\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Beispiel-Logs<\/h4>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1600\" height=\"340\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/beispiel-logs-1600x340.png\" alt=\"\" class=\"wp-image-56746\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/beispiel-logs-1600x340.png 1600w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/beispiel-logs-800x170.png 800w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/beispiel-logs-768x163.png 768w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/beispiel-logs-1536x327.png 1536w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/beispiel-logs.png 1673w\" sizes=\"(max-width: 1600px) 100vw, 1600px\" \/><\/figure>\n\n\n\n<h4 class=\"wp-block-heading\">Erfasste IoC<\/h4>\n\n\n\n<pre class=\"wp-block-preformatted\">154.53.63[.]93 cisco_support cisco_sys_manager cisco_tac_admin<\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Eine umfassende Liste finden Sie <a  href=\"https:\/\/github.com\/SIFalcon\/research\/blob\/main\/CVE-2023-20198\/ioc.txt\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >in unserem GitHub-Repository<\/a>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Auf der Grundlage des Modus Operandi der erfassten Angriffe und der verwendeten Infrastruktur konnten wir bestimmte angreifende Hosts in Gruppen zusammenfassen:<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter\"><img decoding=\"async\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Clustering.drawio4-1024x805.png\" alt=\"\" class=\"wp-image-46698\"\/><\/figure>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1600\" height=\"1257\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/abbildung4-1600x1257.jpg\" alt=\"\" class=\"wp-image-56748\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/abbildung4-1600x1257.jpg 1600w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/abbildung4-800x629.jpg 800w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/abbildung4-768x603.jpg 768w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/abbildung4-1536x1207.jpg 1536w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/abbildung4.jpg 1759w\" sizes=\"(max-width: 1600px) 100vw, 1600px\" \/><figcaption class=\"wp-element-caption\"><em>Abbildung 4: \u00dcberblick \u00fcber die Infrastruktur der Angreifer<\/em><\/figcaption><\/figure>\n\n\n\n<p class=\"has-text-align-center wp-block-paragraph\"><\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Mitigationen\"><\/span>Mitigationen<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr Appliances, die (direkt) aus dem Internet erreichbar sind, empfiehlt Cisco zu pr\u00fcfen, ob das Webinterface aktiviert und von au\u00dfen erreichbar ist, was mit diesem Befehl m\u00f6glich ist (true positive): Router# show running-config | include ip http server|secure|active<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\"><em>ip http server<\/em><br><em>ip http secure-server<\/em><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Sollten diese Befehle mit den zus\u00e4tzlichen Zeilen &#8211; <em>ip http (secure-)active-session-modules none<\/em> &#8211; vorhanden sein, ist die Schwachstelle nicht \u00fcber HTTP(S) ausnutzbar.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Es wird dringend empfohlen, die Web-UI auf Appliances mit direkter Erreichbarkeit aus dem Internet vorerst zu deaktivieren, zumindest bis ein Patch von Cisco verf\u00fcgbar ist.<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Um die Web-UI zu deaktivieren, geben Sie den folgenden Befehl im globalen Konfigurationsmodus ein:<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\"><em>no ip http server<\/em><br><em>no ip http secure-server<\/em><\/pre>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Wie_wir_helfen_koennen\"><\/span>Wie wir helfen k\u00f6nnen<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Ben\u00f6tigen Sie Unterst\u00fctzung bei der Einsch\u00e4tzung, ob Ihr internet-exponiertes Cisco-Ger\u00e4t bereits kompromittiert wurde? Wir helfen Ihnen gerne so schnell wie m\u00f6glich mit einer forensischen Analyse des fraglichen Netzwerkger\u00e4ts.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Bitte starten Sie (potenziell) betroffene Ger\u00e4te im Falle einer geplanten forensischen Untersuchung nicht neu, um Beweise in fl\u00fcchtigen Speichern zu erhalten.<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Falls es eindeutige Hinweise auf eine aktive Kompromittierung des Ger\u00e4ts gibt, empfehlen wir, es zu isolieren und ein Compromise Assessment der angrenzenden Umgebung durchzuf\u00fchren, um sicherzustellen, dass keine Vorbereitungen f\u00fcr einen Angriff gr\u00f6\u00dferen Ausma\u00dfes getroffen werden, z. B. Vorbereitungen f\u00fcr einen Ransomware-Angriff, Lateral Movement (Ausbreitung im Netzwerk) usw.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Wir erforschen diese Angriffskampagne aktiv mit Hilfe von Honeypots und erstellen benutzerdefinierte Erkennungsregeln f\u00fcr TTPs der Angreifer.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Weitere_Ressourcen\"><\/span>Weitere Ressourcen<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\"><a  href=\"https:\/\/www.rapid7.com\/blog\/post\/2023\/10\/17\/etr-cve-2023-20198-active-exploitation-of-cisco-ios-xe-zero-day-vulnerability\/\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >Rapid7-Advisory<\/a><\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><a  href=\"https:\/\/github.com\/vulncheck-oss\/cisco-ios-xe-implant-scanner\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >Vulncheck Implant-Scanning-Tool<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Edge-Infrastruktur wie Firewalls, Router, VPN-Gateways usw., die aus dem Internet erreichbar sind, sind ein h\u00e4ufiges Ziel f\u00fcr Cyberkriminelle und Spionageakteure, da diese Ger\u00e4te schwer zu verteidigen sind. Nach Angaben des Schwachstellenerkennungsdienstes LeakIx k\u00f6nnten bereits 30 Tausend internetf\u00e4hige Cisco-Ger\u00e4te durch die\u2026<\/p>\n","protected":false},"author":6,"featured_media":49002,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[80,66],"tags":[],"dpc_coauthors":[],"class_list":["post-49001","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-incident-response","category-techtalk"],"acf":[],"_links":{"self":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/49001","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/comments?post=49001"}],"version-history":[{"count":0,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/49001\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media\/49002"}],"wp:attachment":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media?parent=49001"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/categories?post=49001"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/tags?post=49001"},{"taxonomy":"dpc_coauthors","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/dpc_coauthors?post=49001"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}