您所在的位置: 首頁 >
新聞資訊 >
威脅情報 >
思科路由器爆零日漏洞遭黑客濫用!全網至少4萬臺仍暴露
利用該漏洞,攻擊者能夠在受影響的設備上創(chuàng)建賬戶,并完全控制這個賬戶;
該漏洞目前尚無補丁,Shodan搜索有約4萬臺設備暴露在互聯網。
10月17日消息,美國思科公司昨日發(fā)布警告,黑客正利用一個零日漏洞(CVE-2023-20198)攻擊該公司的一系列軟件。
該漏洞十分嚴重,CVSS漏洞評分為最高的10分。思科表示,漏洞“授予攻擊者完整的管理員權限,使他們能夠有效地控制受影響路由器,開展未經授權的后續(xù)活動?!?nbsp;
CVE-2023-20198漏洞來源于思科IOS XE軟件的一項功能,會影響運行該軟件的物理和虛擬設備。這個功能名為Web UI,旨在簡化部署、管理過程,提升用戶體驗。
為了解決這個問題,思科敦促客戶在所有面向互聯網的系統關閉HTTP服務器功能。思科指出,美國網絡安全與基礎設施安全局(CISA)已多次發(fā)布相同的建議,以減輕與暴露于互聯網的管理界面相關的風險。CISA昨天也發(fā)布了關于該漏洞的警告。
目前尚無解決此漏洞的方法,也尚無可用的補丁。
攻擊者的漏洞利用鏈條
思科Talos安全團隊還發(fā)布了一份報告,詳細介紹這一關鍵漏洞的發(fā)現過程。
思科技術支持中心在解決多個客戶遭黑客攻擊案例時,發(fā)現了上述漏洞。第一次發(fā)現異常情況是在9月28日。調查后,思科研究人員表示,他們發(fā)現,與漏洞相關的活動可以追溯到9月18日。
上周,思科Talos事件響應團隊發(fā)現與上述漏洞相關的活動,并在周一發(fā)布警告。思科表示,“我們日常需要處理大量案例,現在已經解決了其中少數案例?!?/span>
思科表示,“我們認為這幾輪攻擊活動可能是由同一行為者所為。兩波攻擊發(fā)生時間非常接近,10月份的攻擊似乎是將9月份的攻擊擴大化?!?nbsp;
“第一波攻擊可能是行為者首次嘗試,目的是測試代碼。10月份的攻擊似乎表明,行為者正在擴大操作,通過植入代碼建立持久訪問?!?/span>
利用上述新漏洞,黑客們轉而攻擊一個兩年前的漏洞(CVE-2021-1435),在受影響設備上植入代碼。思科指出,即使已修復舊漏洞的設備也“通過尚未確定的機制”植入了代碼。
使用IOS XE軟件的產品用戶應該警惕“設備上出現未經解釋或新創(chuàng)建的用戶,這說明可能存在與上述漏洞相關的惡意活動?!?/span>
包括Viakoo實驗室副總裁John Gallagher在內,多名研究人員將新漏洞與影響同一軟件的另一漏洞(CVE-2023-20109)聯系在一起,后者于10月2日公布。
Gallagher解釋說,漏洞提醒管理員“需要詳細了解他們的系統,以防出現類似沒有可用補丁的情況?!?/span>
Qualys威脅研究部門經理Mayuresh Dani指出,思科沒有提供受影響設備的列表,這意味著運行IOS XE并將Web用戶界面暴露在互聯網上的任何交換機、路由器或無線局域網控制器都容易受到攻擊。
Dani說:“我使用Shodan搜索引擎進行搜索,發(fā)現大約有4萬臺思科設備將Web 用戶界面暴露在互聯網上?!彼俅螐娬{思科的建議,即用戶應該確保設備不暴露在互聯網上,或者在這些設備上禁用Web用戶界面組件。
參考資料:therecord.media
來源:安全內參