Cisco IOS XE 零日漏洞影响网络设备安全

关键要点

不明黑客利用一个先前未知的漏洞，完全控制暴露在互联网的Cisco IOS XE设备。该漏洞影响软件的Web用户界面Web UI功能，CVSS v3严重性评分为10。Cisco建议客户禁用HTTP Server功能并检测设备上可疑的用户活动。政府机构有至10月20日的时间来应用补救措施，尚无补丁可用。

Cisco公司近日揭露了一个零日漏洞，该漏洞使得黑客能够控制运行IOS XE软件的互联网暴露设备。根据Cisco在10月16日发布的安全通告，这一关键漏洞影响软件的Web用户界面Web UI功能。

该漏洞被追踪为CVE202320198，并获得了CVSS v3最高的严重性评分10。不论是物理设备还是虚拟设备，只要启用了HTTP或HTTPS服务，暴露在互联网的IOS XE设备都将受到影响。

Cisco Talos研究团队指出：“成功利用此漏洞后，攻击者可以在受影响设备上创建具有15级权限的账户[最高权限]，从而完全控制该设备并可能进行后续的未经授权活动。”

Cisco同时“强烈建议”客户在所有面对互联网的系统上禁用HTTP Server功能，并检查设备上是否存在异常或新创建的用户。目前，针对该漏洞的补丁尚未发布。

网络安全基础设施安全局CISA也就该漏洞发布了相关警告，并将其添加至已知被利用的漏洞目录KEV Catalog，要求美国联邦政府机构在10月20日前实施减轻措施。

漏洞利用活动最早出现在一个月前

Cisco Talos表示，与该漏洞相关的潜在恶意活动最早在9月28日被发现，当时Cisco的技术支持中心TAC接到报告，指出某客户设备上有异常行为。

“进一步调查后，我们发现早在9月18日就已观察到相关活动，”Cisco Talos表示。

“活动包括一个授权用户从一个可疑IP地址创建了一个名为‘ciscotacadmin’的本地用户账户。”

hd18.cne黑洞加速器

在10月12日，TAC及Cisco Talos的事件响应团队观察到了第二个相关活动“集群”，包括一名未授权用户从另一个可疑IP地址创建了一个名为“ciscosupport”的本地用户账户。后续的活动还包括部署了一个配置文件植入物“ciscoserviceconf”。

Cisco Talos表示，该配置文件定义了一个新的Web服务器端点URI路径，用于与植入物进行交互，从而使威胁演员能够在系统或IOS级别执行任意命令。

研究人员写道：“我们评估这些活动集群可能是由同一演员实施的。这两个集群时间接近，10月的活动似乎是基于9月的活动发展而来。”

“第一个集群可能是攻击者初次尝试和测试他们的代码，而10月的活动似乎显示攻击者扩展了他们的操作，包括通过部署植入物来建立持久访问。”

威胁演员与网络基础设施漏洞

Viakoo Labs副总裁约翰加拉赫John Gallagher指出，这一漏洞似乎与Cisco之前发现的另一个IOS和IOS XE漏洞有关，CVE202320109，该漏洞CISA在10月10日添加至KEV目录。

“很可能还有其他漏洞在起作用，因为创建恶意账户通常是更大策略的一部分，”加拉赫表示。

在4月份，Cisco曾表示对网络基础设施攻击的激增表示“深切关注”，这些