思科更新了其安全公告,“在發(fā)現(xiàn)了一種阻礙識(shí)別受感染系統(tǒng)的新變體后�����,提供了檢測(cè)植入程序是否存在的增強(qiáng)指南”�,一位發(fā)言人告訴 The
Register�����。
該指南也在Cisco Talos 的博客中更新了有關(guān)該漏洞的信息�����,其中包括一個(gè) curl 命令��,該命令可以利用攻擊者的新 HTTP
標(biāo)頭檢查來(lái)識(shí)別植入變體�。
正如思科在其原始更新中指出的那樣, IOS XE 軟件中實(shí)際上存在兩個(gè)零日漏洞�。入侵者首先利用 CVE-2023-20198
來(lái)獲取對(duì)設(shè)備的訪問(wèn)權(quán)限并發(fā)出特權(quán) 15 命令,從而創(chuàng)建普通的本地用戶帳戶����。
接下來(lái),他們利用了 CVE-2023-20273�����,這是 Web UI 功能中的一個(gè)錯(cuò)誤,允許本地用戶將權(quán)限提升為
root�、將植入程序?qū)懭胛募到y(tǒng)并劫持設(shè)備。
據(jù)思科稱(chēng)��,第一個(gè)修復(fù)版本 17.9.4a 解決了這兩個(gè)缺陷�,并且將提供早期版本的更新。
據(jù)曝光管理機(jī)構(gòu) Censys 稱(chēng)��,截至周四�����,約有36,541 臺(tái)思科設(shè)備已受到損害����。這比前一天減少了 5,000 多。
然后�����,根據(jù)攻擊面管理公司 Onyphe 的數(shù)據(jù)��,隨著周末的到來(lái)�,受感染設(shè)備的數(shù)量驟降至 1,200
臺(tái)�,這讓安全研究人員對(duì)發(fā)生的事情摸不著頭腦��。
NCC 集團(tuán)旗下的安全公司 Fox-IT
表示�����,它有一個(gè)答案:植入程序開(kāi)發(fā)人員只是更改了代碼�����?����!拔覀冇^察到����,數(shù)以萬(wàn)計(jì)的思科設(shè)備上的植入程序已被更改�,以便在響應(yīng)之前檢查授權(quán) HTTP
標(biāo)頭值,”分析師周一表示����。
“這解釋了最近幾天被廣泛討論的已識(shí)別受損系統(tǒng)的暴跌,”它繼續(xù)說(shuō)道�?!笆褂貌煌闹讣y識(shí)別方法�,F(xiàn)ox-IT 識(shí)別出 37,890
臺(tái)仍然受到威脅的思科設(shè)備?���!?/span>
該公司還建議擁有暴露在互聯(lián)網(wǎng)上的 Cisco IOS XE WebUI 的公司進(jìn)行取證分類(lèi),并在 GitHub 上發(fā)布了掃描和檢測(cè)工具����。
經(jīng)過(guò)六天和數(shù)千名用戶的破解,思科準(zhǔn)備修補(bǔ) IOS XE 缺陷
思科的關(guān)鍵零日漏洞變得更加嚴(yán)重——“數(shù)千”的 IOS XE 設(shè)備遭到攻擊
思科零日漏洞允許路由器劫持并且正在被積極利用
VulnCheck 首席技術(shù)官 Jacob Baines 告訴The Register��,他的公司修改了掃描儀以使用 Fox-IT
方法����,“我們看到的基本上與上周看到的一樣:數(shù)千個(gè)植入設(shè)備?��!?/span>
貝恩斯表示�����,他“驚訝”攻擊者修改了植入程序��,而不是放棄攻擊活動(dòng)��。
“通常情況下���,當(dāng)攻擊者被發(fā)現(xiàn)時(shí)���,他們會(huì)安靜下來(lái),并在塵埃落定后重新訪問(wèn)受影響的系統(tǒng)����,”他說(shuō)?!斑@名攻擊者正試圖維持對(duì)數(shù)十家安全公司現(xiàn)在知道存在的植入程序的訪問(wèn)�����。對(duì)我來(lái)說(shuō)�����,這似乎是一場(chǎng)他們無(wú)法獲勝的游戲�。”
貝恩斯表示���,更新后的植入似乎是“短期修復(fù)”�,并補(bǔ)充說(shuō),它要么讓犯罪分子“再保留系統(tǒng)幾天——并實(shí)現(xiàn)任何目標(biāo)——要么只是權(quán)宜之計(jì)��,直到他們可以插入更隱蔽的植入物��?����!?
?
