據思科官網公告,Cisco IOS XE的Web UI功能中存在一個零日漏洞正在被攻擊者積極利用,並且目前尚無可用的補丁。該漏洞影響所有啟用Web UI功能的思科IOS XE裝置,攻擊者能夠遠端且無需身份驗證地獲取受影響裝置的完全管理員許可權。思科將此漏洞的嚴重性評級為滿分10分。
Cisco IOS XE是思科用於其下一代企業網路裝置的作業系統。Web UI是一種基於GUI的嵌入式系統管理工具,提供了配置系統、簡化系統部署、可管理性以及提升使用者體驗的功能。它與預設映像一起提供,因此無需在系統上啟用任何內容或安裝任何許可證。Web UI可用於構建配置,以及在不具備CLI專業知識的情況下監視和排除故障。Web UI和管理服務不應暴露在網際網路或不受信任的網路上。
該漏洞(CVE-2023-20198)允許遠端未經身份驗證的攻擊者在受影響系統上建立一個具有15級特權訪問許可權的帳戶,並使用該帳戶來控制受影響系統。15級特權訪問許可權意味著在思科IOS系統上具有對所有命令的完全訪問許可權,包括重新載入系統和進行配置更改的命令。
思科的調查顯示,與該漏洞相關的惡意活動可能早在9月18日就開始了。第一起事件中,攻擊者利用該漏洞從可疑IP地址建立了一個具有管理員特權的本地使用者帳戶。思科的Talos事件響應團隊於10月12日發現了與該漏洞相關的另一起惡意活動。與第一起事件一樣,攻擊者首先從可疑IP地址建立了一個本地使用者帳戶。但這一次,攻擊者另外還採取了幾項惡意行動,如投放用於任意命令注入的植入物。
思科Talos指出,攻擊者透過CVE-2023-20198在受影響系統上建立的本地使用者帳戶是持久的,並且即使是在裝置重啟後,攻擊者仍然可以保持管理員級別的訪問許可權。思科Talos研究人員敦促組織注意IOS XE裝置上的新使用者或未知使用者——這是攻擊者利用該漏洞的潛在證據。
思科建議其客戶立即在所有面向網際網路的IOS XE裝置上禁用HTTP伺服器功能,以免受該漏洞的影響。
編輯:左右裡
資訊來源:Cisco、Cisco Talos、darkreading
轉載請註明出處和本文連結