思科今天警告管理员,其IOS XE软件中存在一个新的、最严重的零日漏洞,攻击者可以获得完全的管理员权限,并完全控制受影响的路由器。
该公司表示,追踪到的关键漏洞是:
cve - 2023 - 20198
(仍在等待补丁)只影响启用了Web用户界面(Web UI)功能的物理和虚拟设备,这些设备也启用了HTTP或HTTPS服务器功能。
该公司表示:“思科已经发现,当思科IOS XE软件(CVE-2023-20198)暴露于互联网或不受信任的网络时,该软件的Web用户界面(Web UI)功能中存在一个以前未知的漏洞,该漏洞被积极利用。”
揭示了
今天。
“成功利用此漏洞允许攻击者在受影响的设备上创建具有15级访问权限的帐户,有效地授予他们对受感染设备的完全控制,并允许可能的后续未经授权的活动。”
9月28日,思科技术援助中心(TAC)在报告了客户设备上的异常行为后发现了这些攻击。
在对攻击进行进一步调查后,思科确定了9月18日的相关活动。恶意活动涉及授权用户从可疑IP地址(5.149.249[.]74)使用用户名“cisco_tac_admin”创建本地用户帐户。
该公司在10月12日发现了其他相关活动,当时从第二个可疑IP地址(154.53.56[.]231)创建了一个“cisco_support”本地用户帐户。他们还部署了恶意植入程序,在系统或IOS级别执行任意命令。
“我们评估这些活动集群可能是由同一行动者进行的。这两个集群似乎紧密相连,10月份的活动似乎是在9月份活动的基础上建立起来的。”
“第一个集群可能是攻击者的第一次尝试和测试他们的代码,而10月份的活动似乎表明攻击者扩大了他们的行动,包括通过部署植入物建立持久访问。”
缓解措施
该公司建议管理员在面向互联网的系统上禁用HTTP服务器功能,这将消除攻击向量并阻止传入的攻击。
“思科强烈建议客户在所有面向互联网的系统上禁用HTTP服务器功能。要禁用HTTP Server功能,请在全局配置模式下使用no ip HTTP Server或no ip HTTP secure-server命令,“company
说
.
"禁用HTTP服务器功能后,请使用
拷贝running-configuration startup-configuration
命令保存
运行配置
. 这将确保在系统重新加载时不会意外启用HTTP服务器功能。”
如果同时使用HTTP和HTTPS服务器,则需要使用这两个命令来关闭HTTP Server特性。
还强烈建议组织查找无法解释的或最近创建的用户帐户,作为与此威胁相关的恶意活动的潜在指标。
检测受感染的思科IOS XE设备上是否存在恶意植入程序的一种方法是在设备上运行以下命令,其中占位符“DEVICEIP”代表正在调查的IP地址:
curl -k -X POST "https[:]//DEVICEIP/web /logoutconfirm.html?logon_hash = 1”
上个月,思科警告客户:
修补另一个零日漏洞
漏洞 (CVE-2023-20109)在其IOS和IOS XE软件中被攻击者攻击。
如若转载,请注明出处:https://www.ozabc.com/anquan/537086.html