思科用戶的一周開始得很糟糕���,因?yàn)橛腥司娣Q��,這家網(wǎng)絡(luò)巨頭的 IOS XE 軟件中存在一個(gè)嚴(yán)重的零日漏洞��,允許劫持設(shè)備,該漏洞已被利用��。
該漏洞CVE-2023-20198獲得了該網(wǎng)絡(luò)巨頭的(不)完美 10 CVSS 嚴(yán)重性評(píng)級(jí)�,并且思科尚未發(fā)布補(bǔ)丁。
思科意識(shí)到����,當(dāng)暴露在互聯(lián)網(wǎng)或不受信任的網(wǎng)絡(luò)上時(shí)�,Cisco IOS XE 軟件的 Web UI 功能中的一個(gè)先前未知的漏洞會(huì)被主動(dòng)利用�����?!?/span>
思科補(bǔ)充說:“此漏洞允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者在受影響的系統(tǒng)上創(chuàng)建具有 15 級(jí)訪問權(quán)限的帳戶?��!?
“然后攻擊者可以使用該帳戶來控制受影響的系統(tǒng)��?��!?/span>
思科表示,該缺陷會(huì)影響運(yùn)行其 IOS XE 軟件且啟用了 HTTP 或 HTTPS 服務(wù)器功能的物理和虛擬設(shè)備����。
由于沒有補(bǔ)丁或解決方法,思科“強(qiáng)烈建議”客戶在所有面向互聯(lián)網(wǎng)的系統(tǒng)上禁用此功能�。
思科的建議:“要禁用 HTTP 服務(wù)器功能,請(qǐng)?jiān)谌峙渲媚J较率褂胣o ip http server或no ip http
secure-server命令���?��!?“如果同時(shí)使用 HTTP 服務(wù)器和 HTTPS 服務(wù)器��,則需要這兩個(gè)命令才能禁用 HTTP 服務(wù)器功能�����?�!?/span>
該發(fā)言人說我們正在不間斷地提供軟件修復(fù)�,并強(qiáng)烈敦促客戶按照安全公告中的規(guī)定立即采取行動(dòng)����。 ”
“思科將通過安全公告提供有關(guān)我們調(diào)查狀態(tài)的最新信息?����!?/span>
在 Talos 團(tuán)隊(duì)的另一篇博客中��,思科的威脅情報(bào)和事件響應(yīng)團(tuán)隊(duì)提供了有關(guān)如何檢測(cè)惡意活動(dòng)以及入侵者用于持久訪問的植入代碼的更多詳細(xì)信息�����。
但除了新用戶帳戶之外�����,思科技術(shù)支持中心 (TAC) 沒有發(fā)現(xiàn)任何其他潛在的可疑活動(dòng)���。
隨后��,10 月 12 日��,Talos 和 TAC 發(fā)現(xiàn)了類似的入侵:未經(jīng)授權(quán)的用戶從另一個(gè)可疑 IP
地址創(chuàng)建了名為“cisco_support”的本地用戶帳戶���。
雖然植入程序不是持久性的,但新創(chuàng)建的具有 15 級(jí)權(quán)限(也稱為完全路由器控制)的用戶帳戶即使在系統(tǒng)重新啟動(dòng)后仍保持活動(dòng)狀態(tài)����。
思科的威脅情報(bào)團(tuán)隊(duì)寫道:“我們還看到針對(duì) CVE-2021-1435 進(jìn)行了全面修補(bǔ)的設(shè)備通過尚未確定的機(jī)制成功安裝了植入程序?�!?/span>
塔洛斯懷疑 9 月和 10 月的事件都是同一入侵者所為�����。
“第一個(gè)集群可能是攻擊者的最初嘗試并測(cè)試他們的代碼�,而 10
月份的活動(dòng)似乎表明攻擊者正在擴(kuò)展他們的操作,包括通過部署植入程序建立持久訪問����,”該團(tuán)隊(duì)報(bào)告道�����。
