思科在本周一(10/16)揭露了一個CVSS漏洞風險評分高達10的Cisco IOS XE漏洞CVE-2023-20198,並表示早在9月28日發現相關的可疑活動,確定已遭駭客利用,不過,安全漏洞情報業者VulnCheck隨後指出,思科沒說的是,已經有數千臺安裝Cisco IOS XE的裝置淪陷。

CVE-2023-20198是個存在於Cisco IOS XE作業系統上的Web UI權限擴張漏洞,該漏洞允許未經授權的遠端駭客於受影響的系統上,建立一個具備Level 15最高權限的新帳戶,再利用該帳戶取得受駭系統的控制權。不管是思科的交換器、無線網路控制器、無線基地臺或路由器都是採用Cisco IOS XE。

在思科所觀察到的攻擊行動中,駭客在被駭系統上建立新帳戶之後,會植入一個可用來變更配置的惡意檔案,於是思科提供了一個簡單的方式,只要傳送一個特定的HTTP POST至Cisco IOS XE系統上,就能根據系統是否回傳一個18個字元的16進位字串,來判斷系統是否已經遭到感染。

VulnCheck即利用此一方法來掃描公開網路上的Cisco IOS XE網頁介面,並發現已有數千個系統被植入了惡意檔案,意味著取得這些系統最高權限的駭客,可監控流量、進入受保護的網路,並執行各種中間人攻擊。VulnCheck也釋出了該掃描工具供外界取用。

由於思科尚未修補CVE-2023-20198,因此建議用戶可暫時關閉HTTP Server功能,或是於HTTP Server 中設定存取白名單。

熱門新聞

Advertisement