Vulnerabilities ›

CVE-2023-20273

Critical 🇺🇸 CISA KEV ⚡ Exploit Available

Cisco IOS XE Web UI Command Injection Vulnerability (CVE-2023-20273)

                    Published: Oct 23, 2023                                          ·  Source: CISA_KEV                

CVSS v3

9.0

🔗 NVD Official

📄 Description (English)

Cisco IOS XE Web UI Command Injection Vulnerability — Cisco IOS XE contains a command injection vulnerability in the web user interface. When chained with CVE-2023-20198, the attacker can leverage the new local user to elevate privilege to root and write the implant to the file system. Cisco identified CVE-2023-20273 as the vulnerability exploited to deploy the implant. CVE-2021-1435, previously associated with the exploitation events, is no longer believed to be related to this activity.

🤖 AI Executive Summary

Cisco IOS XE Web UI contains a critical command injection vulnerability (CVE-2023-20273) with CVSS 9.0 that enables unauthenticated remote code execution when chained with CVE-2023-20198. Attackers can escalate privileges to root and deploy persistent implants on affected devices. This vulnerability has been actively exploited in the wild and poses an immediate threat to network infrastructure across Saudi Arabia.

📄 Description (Arabic)

تحتوي واجهة الويب في نظام Cisco IOS XE على ثغرة حقن أوامر تسمح بتنفيذ أوامر نظام عشوائية. يمكن للمهاجمين استغلال هذه الثغرة بالتسلسل مع CVE-2023-20198 لإنشاء حسابات مستخدمين محليين جديدة وتصعيد الامتيازات إلى مستوى الجذر. تم تحديد CVE-2023-20273 كالثغرة المستخدمة فعلياً في عمليات النشر الخبيثة المكتشفة. هذه الثغرة تشكل خطراً حرجاً على البنية التحتية الحيوية والشبكات الحكومية.

🤖 ملخص تنفيذي (AI)

تحتوي واجهة ويب Cisco IOS XE على ثغرة حقن أوامر حرجة (CVE-2023-20273) بدرجة CVSS 9.0 تمكّن من تنفيذ كود بعيد بدون مصادقة عند دمجها مع CVE-2023-20198. يمكن للمهاجمين رفع الامتيازات إلى مستوى الجذر ونشر برامج ضارة دائمة على الأجهزة المتأثرة. تم استغلال هذه الثغرة بنشاط في البرية وتشكل تهديداً فورياً لبنية الشبكات في المملكة العربية السعودية.

🤖 AI Intelligence Analysis Analyzed: Apr 21, 2026 01:36

🇸🇦 Saudi Arabia Impact Assessment

Critical impact on Saudi telecommunications infrastructure (STC, Mobily, Zain), banking sector (SAMA-regulated institutions), government networks (NCA, CERT-SA jurisdiction), and energy sector (ARAMCO, SEC). Cisco IOS XE devices are widely deployed as core routing and switching infrastructure. Successful exploitation enables complete device compromise, lateral movement into critical networks, and persistent backdoor access. Financial institutions and government agencies face highest risk due to reliance on Cisco equipment for network segmentation and access control.

🏢 Affected Saudi Sectors

Telecommunications (STC, Mobily, Zain) Banking and Financial Services (SAMA-regulated) Government and Defense (NCA, CERT-SA) Energy and Utilities (ARAMCO, SEC) Healthcare (MOH) Education Critical Infrastructure

🎯 MITRE ATT&CK Techniques

T1190 - Exploit Public-Facing Application T1133 - External Remote Services T1078 - Valid Accounts T1548 - Abuse Elevation Control Mechanism T1059 - Command and Scripting Interpreter T1053 - Scheduled Task/Job T1547 - Boot or Logon Autostart Execution T1098 - Account Manipulation T1021 - Remote Service Session Initiation

⚖️ Saudi Risk Score (AI)

9.5

/ 10.0

🔧 Remediation Steps (English)

IMMEDIATE ACTIONS:

1. Identify all Cisco IOS XE devices in your environment using network discovery tools

2. Isolate or restrict web UI access to trusted administrative networks only

3. Disable the web UI if not actively required; use SSH/CLI management instead

4. Monitor for suspicious web UI access attempts in logs (HTTP 200/401 responses to /webui endpoints)

5. Check for indicators of compromise: unexpected user accounts, modified system files, unusual process execution

PATCHING GUIDANCE:

1. Apply Cisco security patches immediately (17.3.4.11, 17.6.3, 17.9.2 or later depending on your release train)

2. Prioritize devices exposed to untrusted networks

3. Test patches in lab environment before production deployment

4. Coordinate with Cisco TAC for guidance on your specific IOS XE version

COMPENSATING CONTROLS (if patching delayed):

1. Implement network access controls (ACLs) restricting web UI access to management VLANs only

2. Deploy WAF rules blocking suspicious command patterns in HTTP requests

3. Enable authentication logging and alert on failed/successful web UI logins

4. Implement file integrity monitoring on system binaries and configuration files

5. Deploy IDS/IPS signatures detecting CVE-2023-20273 exploitation attempts

DETECTION RULES:

1. Monitor for HTTP POST requests to /webui with encoded command characters (%20, %3B, %7C, %26)

2. Alert on creation of new local user accounts via web UI

3. Detect privilege escalation attempts (sudo, su commands in web UI logs)

4. Monitor for unexpected file writes to /etc/passwd, /etc/shadow, or system directories

5. Track process execution from web UI daemon (httpd) spawning shell processes

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. حدد جميع أجهزة Cisco IOS XE في بيئتك باستخدام أدوات اكتشاف الشبكة

2. عزل أو تقييد الوصول إلى واجهة الويب للشبكات الإدارية الموثوقة فقط

3. عطّل واجهة الويب إذا لم تكن مطلوبة بنشاط؛ استخدم إدارة SSH/CLI بدلاً من ذلك

4. راقب محاولات الوصول المريبة إلى واجهة الويب في السجلات

5. تحقق من مؤشرات الاختراق: حسابات مستخدم غير متوقعة، ملفات نظام معدلة

إرشادات التصحيح:

1. طبّق تصحيحات أمان Cisco على الفور (الإصدارات 17.3.4.11 أو 17.6.3 أو 17.9.2 أو أحدث)

2. أعطِ الأولوية للأجهزة المكشوفة للشبكات غير الموثوقة

3. اختبر التصحيحات في بيئة المختبر قبل نشرها في الإنتاج

4. تنسيق مع Cisco TAC للحصول على إرشادات حول إصدار IOS XE المحدد

الضوابط البديلة:

1. تطبيق ضوابط الوصول إلى الشبكة (ACLs) تقييد الوصول إلى واجهة الويب إلى VLANs الإدارة فقط

2. نشر قواعد WAF لحجب الأنماط المريبة في طلبات HTTP

3. تفعيل تسجيل المصادقة والتنبيه على محاولات تسجيل الدخول الفاشلة والناجحة

4. تطبيق مراقبة سلامة الملفات على الملفات الثنائية للنظام

5. نشر توقيعات IDS/IPS للكشف عن محاولات استغلال CVE-2023-20273

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

ECC 2024 A.5.1.1 - Network access control and segmentation ECC 2024 A.5.2.1 - User access management and authentication ECC 2024 A.5.3.1 - Cryptography and secure communications ECC 2024 A.6.1.1 - Security event logging and monitoring ECC 2024 A.6.2.1 - Vulnerability management and patching

🔵 SAMA CSF

SAMA CSF ID.AM-2 - Hardware and software assets are catalogued SAMA CSF PR.AC-1 - Identities and credentials are issued and managed SAMA CSF PR.PT-2 - Removable media is protected and its use restricted SAMA CSF DE.CM-1 - The network is monitored to detect potential cybersecurity events SAMA CSF RS.MI-2 - Incidents are mitigated

🟡 ISO 27001:2022

ISO 27001:2022 A.5.15 - Access control ISO 27001:2022 A.5.16 - Cryptography ISO 27001:2022 A.5.23 - Information security for supplier relationships ISO 27001:2022 A.8.1 - User endpoint devices ISO 27001:2022 A.8.2 - Privileged access rights ISO 27001:2022 A.8.6 - Access control to information

🟣 PCI DSS v4.0

PCI DSS 1.1 - Firewall configuration standards PCI DSS 2.1 - Default security parameters PCI DSS 6.2 - Security patches and updates PCI DSS 10.2 - User access logging PCI DSS 11.3 - Penetration testing

🔗 References & Sources 0

No references.

📦 Affected Products / CPE 1 entries

Cisco:Cisco IOS XE Web UI

📊 CVSS Score

9.0

/ 10.0 — Critical

📋 Quick Facts

Severity Critical

CVSS Score9.0

EPSS92.38%

Exploit ✓ Yes

Patch ✓ Yes

CISA KEV🇺🇸 Yes

KEV Due Date2023-10-27

Published 2023-10-23

Source Feed cisa_kev

🇸🇦 Saudi Risk Score

9.5

/ 10.0 — Saudi Risk

Priority: CRITICAL

🏷️ Tags

kev actively-exploited

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2023-20273

Introduce Yourself

Sign In Required