攻击者利用最近披露的一个关键零日漏洞,通过恶意植入侵入并感染了数千台思科IOS XE设备。
据威胁情报公司VulnCheck称,最大严重漏洞(CVE-2023-20198)已被广泛利用,攻击目标是启用了Web用户界面(Web UI)功能的Cisco IOS XE路由器和交换机,这些路由器和交换机也开启了HTTP或HTTPS服务器功能。
VulnCheck扫描了面向互联网的思科IOS XE web界面,发现了数千台受损和受感染的主机。该公司还发布了一款扫描仪,用于检测受影响设备上的植入物。
“这是一种糟糕的情况,因为IOS XE上的特权访问可能允许攻击者监控网络流量,进入受保护的网络,并执行任何数量的中间人攻击。”
VulnCheck首席技术官雅各布·贝恩斯表示
.
“如果你的组织使用的是IOS XE系统,你必须确定你的系统是否受到了威胁,并在发现植入程序后采取适当的行动。
“虽然目前还没有补丁,但您可以通过立即禁用web界面并从互联网上删除所有管理界面来保护您的组织。”
思科:应用缓解措施并查找漏洞指标
周一,思科披露,未经身份验证的攻击者可以利用漏洞。
IOS XE零日漏洞
以获得完全的管理员权限,并远程完全控制受影响的思科路由器和交换机。
该公司提醒管理员在补丁可用之前,在所有面向互联网的系统上禁用易受攻击的HTTP服务器功能。
思科技术援助中心(TAC)在收到客户设备上异常行为的报告后,于9月底检测到CVE-2023-20198攻击。这些攻击的证据可以追溯到9月18日,当时观察到攻击者创建了名为“cisco_tac_admin”和“cisco_support”的本地用户帐户。
此外,攻击者还部署了恶意植入物,使他们能够在受损设备的系统或IOS级别执行任意命令。
“我们评估这些活动集群可能是由同一行动者进行的。这两个集群似乎紧密相连,10月份的活动似乎是在9月份活动的基础上建立起来的。”
“第一个集群可能是攻击者的第一次尝试和测试他们的代码,而10月份的活动似乎表明攻击者扩大了他们的行动,包括通过部署植入物建立持久访问。”
该公司还“强烈建议”管理员查找可疑或最近创建的用户帐户,作为与此威胁相关的恶意活动的潜在迹象。
今年9月,思科警告客户:
修补另一个零日漏洞
漏洞 (CVE-2023-20109)在其IOS和IOS XE软件中,被攻击者攻击。
如若转载,请注明出处:https://www.ozabc.com/anquan/537095.html
