您所在的位置: 首頁 >
新聞資訊 >
威脅情報 >
思科路由器爆零日漏洞遭黑客濫用!全網(wǎng)至少4萬臺仍暴露
利用該漏洞,攻擊者能夠在受影響的設(shè)備上創(chuàng)建賬戶,并完全控制這個賬戶;
該漏洞目前尚無補丁,Shodan搜索有約4萬臺設(shè)備暴露在互聯(lián)網(wǎng)。
10月17日消息,美國思科公司昨日發(fā)布警告,黑客正利用一個零日漏洞(CVE-2023-20198)攻擊該公司的一系列軟件。
該漏洞十分嚴(yán)重,CVSS漏洞評分為最高的10分。思科表示,漏洞“授予攻擊者完整的管理員權(quán)限,使他們能夠有效地控制受影響路由器,開展未經(jīng)授權(quán)的后續(xù)活動?!?nbsp;
CVE-2023-20198漏洞來源于思科IOS XE軟件的一項功能,會影響運行該軟件的物理和虛擬設(shè)備。這個功能名為Web UI,旨在簡化部署、管理過程,提升用戶體驗。
為了解決這個問題,思科敦促客戶在所有面向互聯(lián)網(wǎng)的系統(tǒng)關(guān)閉HTTP服務(wù)器功能。思科指出,美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)已多次發(fā)布相同的建議,以減輕與暴露于互聯(lián)網(wǎng)的管理界面相關(guān)的風(fēng)險。CISA昨天也發(fā)布了關(guān)于該漏洞的警告。
目前尚無解決此漏洞的方法,也尚無可用的補丁。
攻擊者的漏洞利用鏈條
思科Talos安全團隊還發(fā)布了一份報告,詳細(xì)介紹這一關(guān)鍵漏洞的發(fā)現(xiàn)過程。
思科技術(shù)支持中心在解決多個客戶遭黑客攻擊案例時,發(fā)現(xiàn)了上述漏洞。第一次發(fā)現(xiàn)異常情況是在9月28日。調(diào)查后,思科研究人員表示,他們發(fā)現(xiàn),與漏洞相關(guān)的活動可以追溯到9月18日。
上周,思科Talos事件響應(yīng)團隊發(fā)現(xiàn)與上述漏洞相關(guān)的活動,并在周一發(fā)布警告。思科表示,“我們?nèi)粘P枰幚泶罅堪咐?,現(xiàn)在已經(jīng)解決了其中少數(shù)案例?!?/span>
思科表示,“我們認(rèn)為這幾輪攻擊活動可能是由同一行為者所為。兩波攻擊發(fā)生時間非常接近,10月份的攻擊似乎是將9月份的攻擊擴大化。”
“第一波攻擊可能是行為者首次嘗試,目的是測試代碼。10月份的攻擊似乎表明,行為者正在擴大操作,通過植入代碼建立持久訪問。”
利用上述新漏洞,黑客們轉(zhuǎn)而攻擊一個兩年前的漏洞(CVE-2021-1435),在受影響設(shè)備上植入代碼。思科指出,即使已修復(fù)舊漏洞的設(shè)備也“通過尚未確定的機制”植入了代碼。
使用IOS XE軟件的產(chǎn)品用戶應(yīng)該警惕“設(shè)備上出現(xiàn)未經(jīng)解釋或新創(chuàng)建的用戶,這說明可能存在與上述漏洞相關(guān)的惡意活動。”
包括Viakoo實驗室副總裁John Gallagher在內(nèi),多名研究人員將新漏洞與影響同一軟件的另一漏洞(CVE-2023-20109)聯(lián)系在一起,后者于10月2日公布。
Gallagher解釋說,漏洞提醒管理員“需要詳細(xì)了解他們的系統(tǒng),以防出現(xiàn)類似沒有可用補丁的情況?!?/span>
Qualys威脅研究部門經(jīng)理Mayuresh Dani指出,思科沒有提供受影響設(shè)備的列表,這意味著運行IOS XE并將Web用戶界面暴露在互聯(lián)網(wǎng)上的任何交換機、路由器或無線局域網(wǎng)控制器都容易受到攻擊。
Dani說:“我使用Shodan搜索引擎進行搜索,發(fā)現(xiàn)大約有4萬臺思科設(shè)備將Web 用戶界面暴露在互聯(lián)網(wǎng)上?!彼俅螐娬{(diào)思科的建議,即用戶應(yīng)該確保設(shè)備不暴露在互聯(lián)網(wǎng)上,或者在這些設(shè)備上禁用Web用戶界面組件。
參考資料:therecord.media
來源:安全內(nèi)參