据思科官网公告，Cisco IOS XE的Web UI功能中存在一个零日漏洞正在被攻击者积极利用，并且目前尚无可用的补丁。该漏洞影响所有启用Web UI功能的思科IOS XE设备，攻击者能够远程且无需身份验证地获取受影响设备的完全管理员权限。思科将此漏洞的严重性评级为满分10分。

Cisco IOS XE是思科用于其下一代企业网络设备的操作系统。Web UI是一种基于GUI的嵌入式系统管理工具，提供了配置系统、简化系统部署、可管理性以及提升用户体验的功能。它与默认映像一起提供，因此无需在系统上启用任何内容或安装任何许可证。Web UI可用于构建配置，以及在不具备CLI专业知识的情况下监视和排除故障。Web UI和管理服务不应暴露在互联网或不受信任的网络上。

该漏洞（CVE-2023-20198）允许远程未经身份验证的攻击者在受影响系统上创建一个具有15级特权访问权限的帐户，并使用该帐户来控制受影响系统。15级特权访问权限意味着在思科IOS系统上具有对所有命令的完全访问权限，包括重新加载系统和进行配置更改的命令。

思科的调查显示，与该漏洞相关的恶意活动可能早在9月18日就开始了。第一起事件中，攻击者利用该漏洞从可疑IP地址创建了一个具有管理员特权的本地用户帐户。思科的Talos事件响应团队于10月12日发现了与该漏洞相关的另一起恶意活动。与第一起事件一样，攻击者首先从可疑IP地址创建了一个本地用户帐户。但这一次，攻击者另外还采取了几项恶意行动，如投放用于任意命令注入的植入物。

思科Talos指出，攻击者通过CVE-2023-20198在受影响系统上创建的本地用户帐户是持久的，并且即使是在设备重启后，攻击者仍然可以保持管理员级别的访问权限。思科Talos研究人员敦促组织注意IOS XE设备上的新用户或未知用户——这是攻击者利用该漏洞的潜在证据。

思科建议其客户立即在所有面向互联网的IOS XE设备上禁用HTTP服务器功能，以免受该漏洞的影响。

编辑：左右里

资讯来源：Cisco、Cisco Talos、darkreading

转载请注明出处和本文链接

球分享

球点赞

球在看

戳“阅读原文”一起来充电吧！