安全公司解析思科 IOS XE 系統(tǒng)零日漏洞，黑客利用 HTTP 功能可獲最高權(quán)限

IT之家 10 月 17 日消息，思科昨日公布了一個已遭黑客利用的零日漏洞 CVE-2023-20198，目前有安全公司 talosintelligence 介紹了這一漏洞。

據(jù)悉，該漏洞位于 Cisco IOS XE 系統(tǒng)的網(wǎng)頁后臺（Web User Interface，Web UI）中，相關(guān)設(shè)備若在后臺中啟用 HTTP 或 HTTPS 服務(wù)器功能，就可能遭到黑客入侵。

IOS XE 是思科為交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備設(shè)計(jì)的系統(tǒng)，該系統(tǒng)基于 Linux。而這一 CVE-2023-20198 漏洞，將允許黑客獲得設(shè)備中最高等級的 Level 15 權(quán)限，等同于“可完全控制相關(guān)設(shè)備”，從而執(zhí)行任意命令。

思科表示，該公司的技術(shù)協(xié)助中心（Technical Assistance Center）在 9 月 28 日發(fā)現(xiàn)這一漏洞。

而調(diào)查顯示，相關(guān)活動最早可追溯至 9 月 18 日，涉及一名來自可疑 IP 位置且未經(jīng)授權(quán)的使用者，建立了一個名為 cisco_tac_admin 的本地端使用者賬號，但并未有其它行為。

一直到 10 月 12 日，Cisco Talos 事件應(yīng)變小組（Talos IR）與思科技術(shù)協(xié)助中心再度發(fā)現(xiàn)，有來自另一個可疑 IP 的未經(jīng)授權(quán)使用者，建立了另一個名為 cisco_support 的使用者賬戶，還植入了一個可用來變更配置的文件。雖然黑客所植入的文件在設(shè)備重新開機(jī)后就會被刪除，但所建立的使用者賬號卻會一直存在，而且具備最高權(quán)限。

IT之家從 CVSS 注意到，CVE-2023-20198 漏洞風(fēng)險(xiǎn)評分為 10 分，該漏洞允許黑客訪問暴露在公開網(wǎng)絡(luò)的設(shè)備，黑客可在設(shè)備中建立新賬號，從而取得完整的管理權(quán)限，進(jìn)而全盤控制相關(guān)網(wǎng)絡(luò)設(shè)備。

目前思科還未修補(bǔ)此一安全漏洞，思科強(qiáng)烈建議客戶應(yīng)在所有接入公開網(wǎng)絡(luò)的設(shè)備上，關(guān)閉 HTTP Server 功能。

參考

• Active exploitation of Cisco IOS XE Software Web Management User Interface vulnerability

• CVE-2023-20198 Detail — CVSS

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。