思科新0day 被用于在数千台设备上植入恶意后门 Lua
编译:代码卫士
该漏洞与位于 web UI 特性中的一个特权漏洞有关,据称与CVE-2023-20198组合用于一个利用链中。思科在上周的公告更新中提到,“攻击者首先利用 CVE-2023-20198获得初始访问权限并发布权限15命令以创建本地用户和密码组合。这就导致用户可以正常的用户访问权限登录。”攻击者“之后可利用 web UI 特性的另外一个组件,利用新的本地用户提权至 root 并将植入写入文件系统。”
思科的一名发言人表示,已找到同时修复这两个漏洞的方案,并将从2023年10月22日开始对外推出。短期内,建议用户禁用HTTP服务器特性。
虽然思科此前提到,现已修复的IOS XE软件中的另外一个漏洞CVE-2023-1435已被用于安装该后门,不过鉴于本次发现新0day,该公司认为CVE-2023-1435与攻击活动无关。
美国CISA 提到,“未认证的远程人员可利用这些漏洞控制受影响系统。具体而言,这些漏洞可导致攻击者创建权限账户,完全控制该设备。”成功利用该漏洞可导致攻击者获得对路由器和交换机的无限远程访问权限、监控网络流量、注入并重定向网络流量,并由于设备缺乏防护措施因此可将其作为持久的据点。
Censys 和 LeakIX 发布的数据表示,超过4.1万台运行易受攻击 IOS XE思软件的思科设备已遭攻陷,攻击者利用的正是最近发现的这两个0day漏洞,“10月19日,大量受陷的思科设备已增加到36541台。该漏洞的主要攻击目标并非大型企业而是规模更小的实体和个人。”
https://thehackernews.com/2023/10/cisco-zero-day-exploited-to-implant.html
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。