❗Upozornění na novou zranitelnost❗

Cisco IOS XE obsahuje chybu zabezpečení webového uživatelského rozhraní týkající se eskalace oprávnění, která by mohla umožnit vzdálenému neověřenému útočníkovi vytvořit účet se stupněm privilegií 15. Útočník pak může tento účet použít k získání kontroly nad postiženým zařízením.

Ověřte, že instance webového uživatelského rozhraní Cisco IOS XE jsou v souladu s BOD 23-02, a aplikujte mitigace dle pokynů dodavatele. U dotčených produktů (webové uživatelské rozhraní Cisco IOS XE vystavené do internetu nebo nedůvěryhodným sítím) postupujte podle pokynů pro zjištění, zda mohl být systém kompromitován.

Důrazně doporučujeme, aby zákazníci zakázali funkci serveru HTTP na všech systémech, které se připojují k internetu. Chcete-li funkci HTTP Server zakázat, použijte příkaz no ip http server nebo no ip http secure-server v režimu globální konfigurace. Pokud je používán server HTTP i server HTTPS, jsou pro zakázání funkce serveru HTTP nutné oba příkazy.

Používáte systém IOS XE?

• Ne. Systém není zranitelný. Není třeba podnikat žádné další kroky.
• Ano. Je nakonfigurován ip http server nebo ip http secure-server?
  • Ne. Zranitelnost není zneužitelná. Není nutné podniknout žádné další kroky.
  • Ano. Provozujete služby, které vyžadují komunikaci HTTP/HTTPS (například eWLC)?
    • Ne. Zakázat funkci serveru HTTP.
    • Ano. Pokud je to možné, omezte přístup k těmto službám na důvěryhodné sítě.

Více informací je možné získat zde:

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z