思科要求客戶立即在其所有面向互聯網的 IOS XE 設備上禁用 HTTPS 服務器功能,以防止攻擊者利用操作系統 Web 用戶界面中的一個關鍵零日漏洞。
思科 IOS XE 是思科用于下一代企業網絡設備的操作系統。該漏洞被命名為 CVE-2023-20198,影響所有啟用了 Web UI 功能的 Cisco IOS XE 設備。思科將該漏洞定義為一個權限升級漏洞,可以完全接管設備。思科將該漏洞在 CVSS 評級中定為 10 分(滿分 10 分)。
CVE-2023-20198:最高嚴重性漏洞
思科在 10 月 16 日關于這個新的零日漏洞的公告中說:該漏洞允許未經認證的遠程攻擊者在受影響的系統上創建一個權限級別為 15 的賬戶。然后,攻擊者可以使用該賬戶獲得對受影響系統的控制權。思科 IOS 系統的權限級別 15 基本上意味著可以完全訪問所有命令,包括重載系統和更改配置的命令。
一個未知的攻擊者一直在利用這個漏洞,訪問思科面向互聯網的 IOS XE 設備,并植入一個 Lua 語言,以便在受影響的系統上執行任意命令。為了植入該漏洞,攻擊者還一直在利用另一個漏洞 ——CVE-2021-1435 ,該漏洞是 IOS XE 的 Web UI 組件中的中等嚴重性命令注入漏洞,思科已于 2021 年修補了該漏洞。思科塔洛斯(Cisco Talos)的研究人員在一份單獨的報告中說,即使是在已經對 CVE-2021-1435 進行了全面修復的設備上,攻擊者也能成功地進行植入。
思科表示,它是在 9 月 28 日應對一起涉及客戶設備異常行為的事件時首次獲悉這個新漏洞的。該公司隨后的調查顯示,與該漏洞有關的惡意活動實際上可能早在 9 月 18 日就開始了。第一起事件的最終結果是,攻擊者利用該漏洞從一個可疑的 IP 地址創建了一個具有管理員權限的本地賬戶。
針對思科的惡意活動集群
10 月 12 日,思科的 Talos 事件響應團隊發現了另一個與該漏洞有關的惡意活動集群。與第一起事件一樣,攻擊者最初從一個可疑的 IP 地址創建了一個本地賬戶。但這一次,威脅行為者又采取了幾種惡意行為,包括進行任意命令注入。
思科塔洛斯公司表示:要使植入活動生效,必須重新啟動web服務器。思科指出:至少在一個觀察到的案例中,服務器沒有重新啟動,因此植入程序盡管已經安裝,卻從未激活。植入本身并不是持久性的,這意味著企業可以通過設備重啟來擺脫它。
但是,攻擊者通過 CVE-2023-20198 創建的本地賬戶是持久性的,即使在設備重啟后,攻擊者也能繼續獲得受影響系統的管理員級訪問權限。研究人員敦促企業注意 IOS XE 設備上的新用戶或未知用戶,這是攻擊者利用該漏洞的潛在證據。同時,思科塔洛斯團隊還提供了一個命令程序,企業可使用該命令確定受影響設備上是否存在該植入。
思科公司表示:我們強烈建議客戶在所有面向互聯網的系統上禁用HTTP服務器功能。同時建議可能受該活動影響的企業、組織立即執行思科產品安全事故響應小組(PSIRT)公告中的指導。
對于攻擊者來說,思科等公司的網絡技術上的零日漏洞(以及任何可獲得管理員級權限的漏洞)尤其有價值。正如美國網絡安全和基礎設施安全局(CISA)和許多其他機構所指出的,網絡路由器交換機、防火墻、負載平衡器和其他類似技術都是理想的攻擊目標,因為大部分或所有流量都必須流經它們。
一顆小胡椒
FreeBuf
ManageEngine卓豪
007bug
安全牛
FreeBuf
一顆小胡椒
商密君
Andrew
虹科網絡安全
安全俠
安全俠
