查看原文
其他

超过1万台思科设备遭受IOS XE零日漏洞攻击

GoUpSec 2024-03-26


据威胁情报公司VulnCheck的最新报告,思科ISOXE软件近日曝出的高危零日漏洞(CVE-2023-20198)已被广泛利用,攻击者针对那些启用了Web用户界面且还提供HTTP或HTTPS服务器功能的Cisco IOS XE系统。


VulnCheck扫描了面向互联网的Cisco IOS XE Web界面,发现已经有数千台受感染的主机。该公司还发布了一款扫描仪来检测受影响设备上的恶意植入。


“思科掩盖了这一事实,没有提及数千个面向互联网的IOSXE系统已被植入恶意软件。这很糟糕,因为IOSXE上的特权访问可能允许攻击者监控网络流量、进入受保护的网络并执行任何数量的操作,实施中间人攻击。”VulnCheck首席技术官Jacob Baines说道:


“如果您的企业使用IOSXE系统,则务必确定系统是否已受到入侵,并在发现恶意植入后采取适当的缓解措施。虽然补丁尚未可用,但您可以通过禁用Web界面和立即从互联网上删除所有管理界面来缓解攻击。”


据Bleepingcomputer报道,VulnCheck只扫描了Shodan/Censys上列出的大约一半设备,但已对大约1万个被植入的系统进行了指纹识别。


Aves Netsec首席执行官Simo Kohonen发布的数据(下图)显示,用Shodan可搜索到14万个暴露在互联网上的启用了Web UI的思科设备:



缓解措施



周一,思科披露,未经身份验证的攻击者可以利用IOS XE零日漏洞获得完全管理员权限,并远程完全控制受影响的思科路由器和交换机。


思科警告管理员在所有面向互联网的系统上禁用易受攻击的HTTP服务器功能,直到有补丁可用。


思科技术支持中心(TAC)收到有关客户设备异常行为的报告后,于9月底检测到了CVE-2023-20198攻击。这些攻击的证据可以追溯到9月18日,当时观察到攻击者创建了名为“cisco_tac_admin”和“cisco_support”的本地用户帐户。


此外,攻击者还利用CVE-2021-1435漏洞和其他未知方法部署恶意植入程序,使他们能够在受感染设备上的系统或IOS级别执行任意命令。


因此,思科向管理员发出“强烈建议”,查找与此威胁相关的恶意活动最近创建的用户帐户。


9月份,思科还曾提醒客户修补其IOS和IOS XE软件中的另一个零日漏洞(CVE-2023-20109),该漏洞也是攻击者在野外攻击的目标。


参考链接:

https://www.bleepingcomputer.com/news/security/over-10-000-cisco-devices-hacked-in-ios-xe-zero-day-attacks/


END

相关阅读

梭子鱼零日漏洞被利用长达七个月

Windows曝出“最愚蠢的零日漏洞”

Allin网络安全!思科以280亿美元现金收购Splunk

“思科被黑”凸显社会工程攻击的危险性

继续滑动看下一个
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存