继日前的CVE-2023-20198之后,思科上周五(10/20)再公布了另一个位于Cisco IOS XE的零时差漏洞CVE-2023-20273,表示所发现的攻击行动是骇客同时利用这两个漏洞串连而成,并于本周日(10/22)修补。
IOS XE是思科替旗下交换器、无线网路控制器、无线基地台与路由器所开发的作业系统,思科在上周指出,骇客利用了新的CVE-2023-20198零时差漏洞取得Level 15的IOS XE最高权限,继之再透过已于2021年修补的CVE-2021-1435漏洞植入恶意档案。
然而,最新的调查显示,在植入恶意档案时,骇客所利用的并非是CVE-2021-1435,而是新的零时差漏洞CVE-2023-20273。
CVE-2023-20198是个存在于Cisco IOS XE作业系统的网页使用者介面(Web User Interface,WebUI)的权限扩张漏洞,允许骇客取得系统的最高权限,其CVSS漏洞风险评分高达10;而CVE- 2023-20273则是另一个位于WebUI的命令注射漏洞,让骇客得以最高权限将恶意程式写入档案系统,可有效地控制整个系统,CVSS漏洞风险评分为7.2。
根据思科的调查,骇客所写入的恶意程式是以Lua撰写,只有29行的程式码,以方便执行任何指令,但必须向该装置建立一个HTTP POST请求。因此,思科建议客户应关闭可自公开网路存取系统之HTTP/S伺服器功能,并检查装置上是否被植入了恶意程式,或是有否建立可疑的新用户。
值得注意的是,Lua恶意档案无法持久,只要重新开机就能将它清除,然而,利用CVE-2023-20198漏洞所建立的新用户,却可持续拥有最高权限。
思科是在10月16日揭露CVE-2023-20198,而资安研究业者ONYPHE于18日侦测到,全球8万台曝露于公开网路的IOS XE装置中,在短短的3天内就有超过5万台被植入Lua恶意档案。 Censys则说主要受害者位于美国、菲律宾与墨西哥。
令人感到困惑的是,接着研究人员发现到这些被骇装置的数量骤减。 ONYPHE在21日指出,受骇装置数量从4万台降至1,200台。 CERT Orange Cyberdefense则说,所侦测到含有Lua恶意档案的IOS XE装置,从10月18日的近4万台,下滑到19日的3.1万台,到了22日仅剩320台。
ONYPHE与CERT Orange Cyberdefense都认为,这不太像是用户大规模清除恶意档案的轨迹,而更像是骇客修复了原本就不应可自远端侦测到的恶意档案,并蓄势待发准备下一波的攻击行动。极悦娱乐测速极悦在线开户
