目前还没有针对最严重漏洞的补丁或解决方案,这使得攻击者可以在没有身份验证的情况下远程获得受影响设备的完全管理员权限。
思科要求客户立即在所有面向互联网的IOS XE设备上禁用HTTPS服务器功能,以防止攻击者积极利用操作系统Web用户界面中的关键零日漏洞。
思科IOS XE是思科用于下一代企业网络设备的操作系统。
该漏洞编号为CVE-2023-20198,影响所有启用Web UI功能的思科IOS XE设备。目前还没有针对该漏洞的补丁或其他解决方案,思科将其描述为特权升级问题,可以完全接管设备。思科将该漏洞的最大可能严重性评级定为10分(满分为10分)。
10月16日,思科在一份关于这个新的零日漏洞的报告中说:“这个漏洞允许一个远程的、未经身份验证的攻击者在受影响的系统上创建一个具有15级访问权限的账户。然后攻击者可以使用该帐户来控制受影响的系统。”
Cisco IOS系统上的权限级别15基本上意味着可以完全访问所有命令,包括重新加载系统和进行配置更改的命令。
一个未知的攻击者一直在利用这个漏洞,访问思科、面向互联网的IOS XE设备,并植入Lua语言,以便在受影响的系统上执行任意命令。为了移除植入物,攻击者一直在利用另一个漏洞(CVE-2021-1435),IOS XE的Web UI组件中的一个中等严重程度的命令注入漏洞,思科在2021年修补了这个漏洞。
思科Talos的研究人员在另一份报告中表示,即使在针对CVE-2021-1435打了完整补丁的设备上,该威胁行为者也能够通过一种尚未确定的机制成功地植入该植入物。
思科表示,9月28日,该公司在应对一起涉及客户设备异常行为的事件时,首次听说了这个新漏洞。该公司随后的调查显示,与该漏洞相关的恶意活动实际上可能早在9月18日就开始了。第一次事件以攻击者利用该漏洞从可疑IP地址创建具有管理员权限的本地用户帐户而告终。
10月12日,思科的Talos事件响应小组发现了另一个与该漏洞相关的恶意活动集群。与第一次事件一样,攻击者最初从一个可疑的IP地址创建了一个本地用户帐户。但这一次,威胁行为者采取了一些额外的恶意行动,包括放弃植入程序以进行任意命令注入。
思科Talos表示:“要使植入程序进入活动状态,必须重新启动Web服务器。至少在一个观察到的案例中,服务器没有重新启动,因此尽管安装了植入物,但植入物从未激活。植入物本身不是持久的,这意味着组织可以通过设备重启来摆脱它。“
然而,攻击者可以通过CVE-2023-20198创建的本地用户帐户是持久的,即使在设备重新启动后,攻击者也可以继续对受影响的系统进行管理员级别的访问。思科Talos研究人员敦促各组织密切关注IOS XE设备上的新用户或无法解释的用户,以此作为攻击者利用该漏洞的潜在证据。他们还提供了一个命令,组织可以使用该命令来确定植入物是否存在于任何受影响的设备上。
1082
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
