思科在本周一(10/16)揭露了一个CVSS漏洞风险评分高达10的Cisco IOS XE漏洞CVE-2023-20198,并表示早在9月28日发现相关的可疑活动,确定已遭骇客利用,不过,安全漏洞情报业者VulnCheck随后指出,思科没说的是,已经有数千台安装Cisco IOS XE的装置沦陷。
CVE-2023-20198是个存在于Cisco IOS XE作业系统上的Web UI权限扩张漏洞,该漏洞允许未经授权的远端骇客于受影响的系统上,建立一个具备Level 15最高权限的新帐户,再利用该帐户取得受骇系统的控制权。不管是思科的交换器、无线网路控制器、无线基地台或路由器都是采用Cisco IOS XE。
在思科所观察到的攻击行动中,骇客在被骇系统上建立新帐户之后,会植入一个可用来变更配置的恶意档案,于是思科提供了一个简单的方式,只要传送一个特定的HTTP POST至Cisco IOS XE系统上,就能根据系统是否回传一个18个字元的16进位字串,来判断系统是否已经遭到感染。
VulnCheck即利用此一方法来扫描公开网路上的Cisco IOS XE网页介面,并发现已有数千个系统被植入了恶意档案,意味著取得这些系统最高权限的骇客,可监控流量、进入受保护的网路,并执行各种中间人攻击。VulnCheck也释出了该扫描工具供外界取用。
由于思科尚未修补CVE-2023-20198,因此建议用户可暂时关闭HTTP Server功能,或是于HTTP Server 中设定存取白名单。