注意:系統配置中出現任一命令或同時存在這兩個命令表示 Web UI 功能已啟用。
如果存在ip http server命令并且配置還包含ip http active-session-modules none�����,則無法通過 HTTP 利用該漏洞。
如果存在ip http secure-server命令并且配置還包含ip http secure-active-session-modules none����,則無法通過 HTTPS 利用該漏洞�����。
Web UI 是一種基于 GUI 的嵌入式系統管理工具�,能夠提供系統配置����、簡化系統部署和可管理性以及增強用戶體驗。它帶有默認映像�����,因此無需在系統上啟用任何內容或安裝任何許可證�。Web UI 可用于構建配置以及監控系統和排除系統故障����,而無需 CLI 專業知識。
Web UI 和管理服務不應暴露于互聯網或不受信任的網絡。
要確定系統是否已受到損害�,請執行以下檢查:
檢查系統日志中是否存在以下任何日志消息���,其中用戶可能是cisco_tac_admin���、cisco_support或網絡管理員未知的任何已配置本地用戶:
%SYS-5-CONFIG_P:通過進程 SEP_webui_wsma_http 從控制臺以用戶身份在線
%
SEC_LOGIN-5-WEBLOGIN_SUCCESS:以編程方式配置 %SEC_LOGIN-5-WEBLOGIN_SUCCESS:登錄成功 [user: user ] [Source: source_IP_address ] at 03:42:13 UTC 2023 年 10 月 11 日星期三
如果請求返回十六進制字符串���,則表明存在植入程序�����。
注意:如果系統配置為僅進行 HTTP 訪問����,請使用命令示例中的 HTTP 方案���。
以下 Snort 規則 ID 也可用于檢測漏洞利用:
- 3:50118:2 – 可以針對初始植入物注射發出警報
- 3:62527:1 – 可以針對植入物交互發出警報
- 3:62528:1 – 可以針對植入物交互發出警報
- 3:62529:1 – 可以針對植入物交互發出警報
