思科再公布另一個IOS XE零時差漏洞

繼日前的CVE-2023-20198之後，思科上周五（10/20）再公布了另一個位於Cisco IOS XE的零時差漏洞CVE-2023-20273，表示所發現的攻擊行動是駭客同時利用這兩個漏洞串連而成，並於本周日（10/22）修補。

IOS XE是思科替旗下交換器、無線網路控制器、無線基地臺與路由器所開發的作業系統，思科在上周指出，駭客利用了新的CVE-2023-20198零時差漏洞取得Level 15的IOS XE最高權限，繼之再透過已於2021年修補的CVE-2021-1435漏洞植入惡意檔案。

然而，最新的調查顯示，在植入惡意檔案時，駭客所利用的並非是CVE-2021-1435，而是新的零時差漏洞CVE-2023-20273。

CVE-2023-20198是個存在於Cisco IOS XE作業系統的網頁使用者介面（Web User Interface，WebUI）的權限擴張漏洞，允許駭客取得系統的最高權限，其CVSS漏洞風險評分高達10；而CVE-2023-20273則是另一個位於WebUI的命令注射漏洞，讓駭客得以最高權限將惡意程式寫入檔案系統，可有效地控制整個系統，CVSS漏洞風險評分為7.2。

根據思科的調查，駭客所寫入的惡意程式是以Lua撰寫，只有29行的程式碼，以方便執行任何指令，但必須向該裝置建立一個HTTP POST請求。因此，思科建議客戶應關閉可自公開網路存取系統之HTTP/S伺服器功能，並檢查裝置上是否被植入了惡意程式，或是有否建立可疑的新用戶。

值得注意的是，Lua惡意檔案無法持久，只要重新開機就能將它清除，然而，利用CVE-2023-20198漏洞所建立的新用戶，卻可持續擁有最高權限。

思科是在10月16日揭露CVE-2023-20198，而資安研究業者ONYPHE於18日偵測到，全球8萬臺曝露於公開網路的IOS XE裝置中，在短短的3天內就有超過5萬臺被植入Lua惡意檔案。Censys則說主要受害者位於美國、菲律賓與墨西哥。

令人感到困惑的是，接著研究人員發現到這些被駭裝置的數量驟減。ONYPHE在21日指出，受駭裝置數量從4萬臺降至1,200臺。CERT Orange Cyberdefense則說，所偵測到含有Lua惡意檔案的IOS XE裝置，從10月18日的近4萬臺，下滑到19日的3.1萬臺，到了22日僅剩320臺。

ONYPHE與CERT Orange Cyberdefense都認為，這不太像是用戶大規模清除惡意檔案的軌跡，而更像是駭客修復了原本就不應可自遠端偵測到的惡意檔案，並蓄勢待發準備下一波的攻擊行動。