思科披露称严重的 IOS XE 认证绕过0day已遭利用
编译:代码卫士
思科表示,该漏洞CVE-2023-20198尚无补丁,仅影响运行启用 Web UI 特性和HTTP或HTTPS Server 特性的设备。思科表示,“当Cisco IOS XE 软件暴露到互联网或不可信网络中时,会触发 Web UI 特性中的一个已遭利用的此前未发现的漏洞。成功利用该漏洞可导致攻击者在受影响设备上以15级别权限创建账户,从而能够完全控制受陷设备并导致后续的越权活动。”
这些攻击活动是由思科技术协助中心在收到客户设备存在异常行为报告后发现的。
思科进一步调查后发现9月18日就存在攻击活动。获得授权的用户通过用户名 “cisco_tac_admin” 在可疑IP地址(5.149.249[.]74)上创建了本地用户账户。思科在10月12日发现与该漏洞相关联的更多攻击活动,攻击者从第二个可疑IP地址(154.53.56[.]231)中创建了用户名为 “cisco_support”的本地用户账户。同时,攻击者还部署了恶意植入,在系统或IOS级别执行任意命令。
思科表示,“我们认为这些活动很可能是由同一黑客自行的。这两批攻击活动之间似乎很紧密,10月的攻击活动似乎构建于9月攻击活动之上。第一批攻击活动很可能是攻击者的初次尝试并用于测试代码,10月的攻击活动表明攻击者扩大行动,通过部署植入来设立持久访问权限。”
思科建议管理员禁用面向互联网系统的HTTP服务器特性,从而消除攻击向量并拦截攻击。
思科指出,“思科强烈建议客户在所有面向互联网的系统上禁用HTTP Server 特性。要禁用该特性,在全局配置模式下使用 no ip http server或者no ip http secure-server命令。禁用HTTP Server 特性后,使用命令 copy running-configuration startup-configuration 保存 running-configuration。确保HTTP Server 特性不会在系统重新加载的情况下异常启用。”
如果HTTP和HTTPS服务器都在使用状态,则需要通过同时使用这两个命令禁用 HTTP Server 特性。
思科还强烈建议组织机构查找未解释或最近新建的用户账户,作为与该威胁相关联的潜在恶意活动指标。检测受攻陷 Cisco IOS XE 设备上的恶意植入需要在如下设备上运行命令,其中占位符“DEVICEIP” 代表的是调查中的IP地址。
curl -k -X POST "https[:]//DEVICEIP/webui/logoutconfirm.html?logon_hash=1"
思科安全通信总监 Meredith Corley表示,“我们正在马不停蹄地准备软件修复方案,我们强烈建议客户立即采取公告中提到的措施。思科将通过安全公告更新调查结果。
上个月,思科提醒客户修复另外一个0day 漏洞CVE-2023-20109。该漏洞位于 IOS 和 IOS XE 软件中且已遭利用。
https://www.bleepingcomputer.com/news/security/cisco-warns-of-new-ios-xe-zero-day-actively-exploited-in-attacks/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。