美国东部时间10月17日16:40更新:
增加了关于被入侵的思科IOS XE设备的新信息。
攻击者利用最近披露的一个关键零日漏洞,通过恶意植入侵入并感染了1万多台思科IOS XE设备。
运行思科IOS XE软件的产品列表包括企业交换机、聚合和工业路由器、接入点、无线控制器等。
据威胁情报公司VulnCheck称,最大严重漏洞(CVE-2023-20198)已被广泛利用,攻击目标是启用了Web用户界面(Web UI)功能的Cisco IOS XE系统,同时也启用了HTTP或HTTPS服务器功能。
VulnCheck扫描了面向互联网的思科IOS XE web界面,发现了数千台受损和受感染的主机。该公司还发布了一款扫描仪,用于检测受影响设备上的植入物。
思科没有提及这一点,从而掩盖了这一线索。
成千上万的人
“这是一个糟糕的情况,因为IOS XE上的特权访问可能允许攻击者监控网络流量,进入受保护的网络,并执行任意数量的中间人攻击,”他说。
VulnCheck首席技术官雅各布·贝恩斯说
.
“如果你的组织使用的是IOS XE系统,你必须确定你的系统是否受到了威胁,一旦发现植入物,你就必须采取适当的行动。虽然目前还没有补丁,但你可以通过立即禁用web界面和从互联网上删除所有管理界面来保护你的组织。”
”
VulnCheck已经对大约一万个植入系统进行了指纹识别
但我们只扫描了Shodan/Censys上列出的大约一半的设备。贝恩斯告诉BleepingComputer,“我们不想承诺一个具体的数字,因为随着我们继续开展活动,这个数字会不断变化。”
Shodan搜索启用了Web UI的Cisco设备(
共享
Netsec首席执行官西莫·科霍宁(Simo Kohonen)目前展示了超过14万台暴露在互联网上的设备。
思科:应用缓解措施并查找漏洞指标
周一,思科披露,未经身份验证的攻击者可以利用漏洞。
IOS XE零日漏洞
以获得完全的管理员权限,并远程完全控制受影响的思科路由器和交换机。
该公司提醒管理员在补丁可用之前,在所有面向互联网的系统上禁用易受攻击的HTTP服务器功能。
思科技术援助中心(TAC)在收到客户设备上异常行为的报告后,于9月底检测到CVE-2023-20198攻击。这些攻击的证据可以追溯到9月18日,当时观察到攻击者创建了名为“cisco_tac_admin”和“cisco_support”的本地用户帐户。
此外,攻击者还部署了恶意植入物,使他们能够在受损设备的系统或IOS级别执行任意命令。
“我们评估这些活动集群可能是由同一行动者进行的。这两个集群似乎紧密相连,10月份的活动似乎是在9月份活动的基础上建立起来的。”
“第一个集群可能是攻击者的第一次尝试和测试他们的代码,而10月份的活动似乎表明攻击者扩大了他们的行动,包括通过部署植入物建立持久访问。”
该公司还“强烈建议”管理员查找可疑或最近创建的用户帐户,作为与此威胁相关的恶意活动的潜在迹象。
今年9月,思科警告客户:
修补另一个零日漏洞
漏洞 (CVE-2023-20109)在其IOS和IOS XE软件中,被攻击者攻击。
如若转载,请注明出处:https://www.ozabc.com/anquan/537106.html