背景图片来源/思科
思科(Cisco)周一(10/16)揭露了一个已遭骇客攻击的零时差漏洞CVE-2023-20198,该漏洞位于Cisco IOS XE作业系统的网页使用者介面(Web User Interface,Web UI)中,当该功能曝露于公开网路或不可靠的网路时,就可能遭到滥用,主要影响执行IOS XE且启用HTTP或HTTPS伺服器功能的实体或虚拟装置。
IOS XE为思科替许多网通设备所开发的作业系统,被应用在交换器、无线网路控制器、无线基地台与路由器上,而成功攻击CVE-2023-20198漏洞将允许骇客取得最高等级的Level 15权限,等同于可完全控制被骇装置,并执行各种命令。
思科表示,该公司的技术协助中心(Technical Assistance Center,TAC)是在9月28日发现客户装置上的可疑活动,调查后显示相关活动最早可追溯至9月18日,涉及一名来自可疑IP位址且未经授权的使用者,建立了一个名为cisco_tac_admin的本地端使用者帐户,但并未有其它行为。
一直到10月12日,Cisco Talos事件应变小组(Talos IR)与TAC再度发现,有来自另一个可疑IP的未经授权使用者,建立了另一个名为cisco_support的使用者帐户,还植入了一个可用来变更配置的档案。虽然骇客所植入的档案在重新开机后就会被移除,但所建立的使用者帐户却会一直存在,而且具备最高权限。
CVE-2023-20198漏洞允许骇客存取装置并建立新使用者帐户,其CVSS漏洞风险评分高达10,成功的攻击将让骇客取得完整的管理权限,控制受骇装置,而植入档案所利用的却是思科已于2021年修补的CVE-2021-1435漏洞。
目前思科尚未修补此一安全漏洞,强烈建议客户应在所有面对公开网路的系统上关闭HTTP Server功能。