思科今日将为 IOS XE 零日漏洞推出补丁,相关设备启用 HTTP / S 后可遭入侵
CTOnews.com 10 月 23 日消息,思科此前公布了自家 IOS XE 系统中一项 CVSS 10 分满分漏洞"CVE-2023-20198",而在 10 月 20 日又公布了另一个零日漏洞 CVE-2023-20273,思科声称,黑客利用了合并了两个漏洞进行攻击,思科声称将于今日(当地时间 22 日)发布补丁修复相关漏洞。
CTOnews.com注:IOS XE 系统是思科为旗下交换器、路由器等网络设备所开发的操作系统,该系统基于 Linux。黑客利用 CVE-2023-20198 及 CVE-2023-20273 漏洞,从而获得设备中最高等级的 Level 15 权限,等同于"可完全控制相关设备",从而执行任意命令。
CVE-2023-20198 漏洞位于思科 IOS XE 系统的网页后台(Web User Interface,Web UI)中,相关设备若在后台中启用 HTTP / S 服务器功能,就可能遭到黑客入侵,CVSS 评分为 10。
而 CVE- 2023-20273 则是另一个位于网页后台中的漏洞,让黑客得到最高权限后,能够将恶意代码写入进系统中,从而有效地控制整个系统,CVSS 评分为 7.2。
根据思科的调查,黑客所写入的恶意代码是以 Lua 撰写,仅有 29 行,以方便执行任何指令,但黑客实行攻击的关键,是向相关网络设备建立一个 HTTP POST 请求。因此思科建议客户应关闭相关网络设备中的 HTTP / S 服务器功能,并检查设备上是否已经被植入了恶意代码,或有否凭空出现了"新用户"。
根据CTOnews.com早前报道,在漏洞 10 月 16 日曝光至 10 月 19 日,全球有超 1 万台设备被植入 Lua 恶意代码,安全公司 Censys 表示主要受害者位于美国、菲律宾与墨西哥。
而在 10 月 19 日后,安全公司发现到被感染的网络设备数量骤减,到了 22 日据称"被感染的设备"仅剩 320 台。
安全公司 ONYPHE 与 CERT Orange Cyberdefense 认为,这不太像是运维们充分发挥了积极性,更像是黑客撤离了受感染的网络设备,从而蓄势待发准备下一波的攻击行动。
相关阅读:
《暂无修复补丁,报道称超过 4 万台思科 IOS XE 设备存在 10 分满分漏洞》
《安全公司解析思科 IOS XE 系统零日漏洞,黑客利用 HTTP 功能可获最高权限》
相关文章
- 25 周年纪念作,情怀拉满但诚意欠缺:《勇者斗恶龙 怪物仙境 3》
- 联想拯救者 Y700 2023 平板推送 ZUI 15.0.723 系统灰度测试:新增“USB 网络共享”,优化底部小白条
- Streacom 推出 SG10 高端被动散热机箱:可解热 600W,1300 美元
- 3D 角色扮演策略游戏《少女前线 2:追放》公测开启,安卓、iOS、PC 多端互通
- 新能源车市:价格战开局,价值战结束
- 雪天这样拍,照片更为味道
- Cybertruck:未来物种重新定义汽车
- 2022 年我国未成年网民规模突破 1.93 亿,普及率达 97.2%
- 上映 7 天,《名侦探柯南:黑铁的鱼影》内地票房破亿、豆瓣 6.6 分
- 小岛工作室推出《死亡搁浅》联名手机手柄,预计明年发售