查看原文
其他

思科披露称严重的 IOS XE 认证绕过0day已遭利用

Sergiu Gatlan 代码卫士 2024-07-14

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

今天,思科提醒管理员称,IOS XE 软件中存在一个满分的认证绕过漏洞,可导致未认证攻击者获得完整的管理员权限并远程完全控制受影响路由器和交换机。


思科表示,该漏洞CVE-2023-20198尚无补丁,仅影响运行启用 Web UI 特性和HTTP或HTTPS Server 特性的设备。思科表示,“当Cisco IOS XE 软件暴露到互联网或不可信网络中时,会触发 Web UI 特性中的一个已遭利用的此前未发现的漏洞。成功利用该漏洞可导致攻击者在受影响设备上以15级别权限创建账户,从而能够完全控制受陷设备并导致后续的越权活动。”

这些攻击活动是由思科技术协助中心在收到客户设备存在异常行为报告后发现的。

思科进一步调查后发现9月18日就存在攻击活动。获得授权的用户通过用户名 “cisco_tac_admin” 在可疑IP地址(5.149.249[.]74)上创建了本地用户账户。思科在10月12日发现与该漏洞相关联的更多攻击活动,攻击者从第二个可疑IP地址(154.53.56[.]231)中创建了用户名为 “cisco_support”的本地用户账户。同时,攻击者还部署了恶意植入,在系统或IOS级别执行任意命令。

思科表示,“我们认为这些活动很可能是由同一黑客自行的。这两批攻击活动之间似乎很紧密,10月的攻击活动似乎构建于9月攻击活动之上。第一批攻击活动很可能是攻击者的初次尝试并用于测试代码,10月的攻击活动表明攻击者扩大行动,通过部署植入来设立持久访问权限。”


缓解措施

思科建议管理员禁用面向互联网系统的HTTP服务器特性,从而消除攻击向量并拦截攻击。

思科指出,“思科强烈建议客户在所有面向互联网的系统上禁用HTTP Server 特性。要禁用该特性,在全局配置模式下使用 no ip http server或者no ip http secure-server命令。禁用HTTP Server 特性后,使用命令 copy running-configuration startup-configuration 保存 running-configuration。确保HTTP Server 特性不会在系统重新加载的情况下异常启用。”

如果HTTP和HTTPS服务器都在使用状态,则需要通过同时使用这两个命令禁用 HTTP Server 特性。

思科还强烈建议组织机构查找未解释或最近新建的用户账户,作为与该威胁相关联的潜在恶意活动指标。检测受攻陷 Cisco IOS XE 设备上的恶意植入需要在如下设备上运行命令,其中占位符“DEVICEIP” 代表的是调查中的IP地址。

curl -k -X POST "https[:]//DEVICEIP/webui/logoutconfirm.html?logon_hash=1"

思科安全通信总监 Meredith Corley表示,“我们正在马不停蹄地准备软件修复方案,我们强烈建议客户立即采取公告中提到的措施。思科将通过安全公告更新调查结果。

上个月,思科提醒客户修复另外一个0day 漏洞CVE-2023-20109。该漏洞位于 IOS 和 IOS XE 软件中且已遭利用。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com









推荐阅读

思科紧急修复 Emergency Responder 系统中的严重漏洞

思科 BroadWorks 受严重的认证绕过漏洞影响

多个高危漏洞可导致思科交换机和防火墙遭 DoS 攻击

高危无补丁0day影响思科数据中心交换机,可导致加密流量遭篡改



原文链接

https://www.bleepingcomputer.com/news/security/cisco-warns-of-new-ios-xe-zero-day-actively-exploited-in-attacks/


题图:Pexels License


本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

继续滑动看下一个
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存