该漏洞允许攻击者在未进行身份验证的情况下远程获得受影响设备的全部管理员权限。
思科要求客户立即在其所有面向互联网的 IOS XE 设备上禁用 HTTPS 服务器功能,以防止攻击者利用操作系统 Web 用户界面中的一个关键零日漏洞。
思科 IOS XE 是思科用于下一代企业网络设备的操作系统。该漏洞被命名为 CVE-2023-20198,影响所有启用了 Web UI 功能的 Cisco IOS XE 设备。思科将该漏洞定义为一个权限升级漏洞,可以完全接管设备。思科将该漏洞在 CVSS 评级中定为 10 分(满分 10 分)。
CVE-2023-20198: 最高严重性漏洞
思科在 10 月 16 日关于这个新的零日漏洞的公告中说:该漏洞允许未经认证的远程攻击者在受影响的系统上创建一个权限级别为 15 的账户。然后,攻击者可以使用该账户获得对受影响系统的控制权。思科 IOS 系统的权限级别 15 基本上意味着可以完全访问所有命令,包括重载系统和更改配置的命令。
一个未知的攻击者一直在利用这个漏洞,访问思科面向互联网的 IOS XE 设备,并植入一个 Lua 语言,以便在受影响的系统上执行任意命令。为了植入该漏洞,攻击者还一直在利用另一个漏洞 ——CVE-2021-1435 ,该漏洞是 IOS XE 的 Web UI 组件中的中等严重性命令注入漏洞,思科已于 2021 年修补了该漏洞。思科塔洛斯(Cisco Talos)的研究人员在一份单独的报告中说,即使是在已经对 CVE-2021-1435 进行了全面修复的设备上,攻击者也能成功地进行植入。
思科表示,它是在 9 月 28 日应对一起涉及客户设备异常行为的事件时首次获悉这个新漏洞的。该公司随后的调查显示,与该漏洞有关的恶意活动实际上可能早在 9 月 18 日就开始了。第一起事件的最终结果是,攻击者利用该漏洞从一个可疑的 IP 地址创建了一个具有管理员权限的本地账户。
针对思科的恶意活动集群
10 月 12 日,思科的 Talos 事件响应团队发现了另一个与该漏洞有关的恶意活动集群。与第一起事件一样,攻击者最初从一个可疑的 IP 地址创建了一个本地账户。但这一次,威胁行为者又采取了几种恶意行为,包括进行任意命令注入。
思科塔洛斯公司表示:要使植入活动生效,必须重新启动web服务器。思科指出:至少在一个观察到的案例中,服务器没有重新启动,因此植入程序尽管已经安装,却从未激活。植入本身并不是持久性的,这意味着企业可以通过设备重启来摆脱它。
但是,攻击者通过 CVE-2023-20198 创建的本地账户是持久性的,即使在设备重启后,攻击者也能继续获得受影响系统的管理员级访问权限。研究人员敦促企业注意 IOS XE 设备上的新用户或未知用户,这是攻击者利用该漏洞的潜在证据。同时,思科塔洛斯团队还提供了一个命令程序,企业可使用该命令确定受影响设备上是否存在该植入。
思科公司表示:我们强烈建议客户在所有面向互联网的系统上禁用HTTP服务器功能。同时建议可能受该活动影响的企业、组织立即执行思科产品安全事故响应小组(PSIRT)公告中的指导。
对于攻击者来说,思科等公司的网络技术上的零日漏洞(以及任何可获得管理员级权限的漏洞)尤其有价值。正如美国网络安全和基础设施安全局(CISA)和许多其他机构所指出的,网络路由器交换机、防火墙、负载平衡器和其他类似技术都是理想的攻击目标,因为大部分或所有流量都必须流经它们。