CVE-2023-20198：最高严重性漏洞

思科在 10 月 16 日关于新的零日漏洞的公告中表示： “该漏洞允许未经身份验证的远程攻击者在受影响的系统上创建具有 15 级访问权限的帐户。” 

“然后攻击者可以使用该帐户来控制受影响的系统。” Cisco IOS 系统上的权限级别 15 基本上意味着可以完全访问所有命令，包括重新加载系统和进行配置更改的命令。

一名未知攻击者一直在利用该漏洞访问思科面向互联网的 IOS XE 设备，并植入 Lua 语言植入程序，以便在受影响的系统上执行任意命令。

为了删除植入程序，威胁行为者一直在利用另一个缺陷 – CVE-2021-1435，这是 IOS XE Web UI 组件中的一个中等严重性的命令注入漏洞，思科于 2021 年修补了该漏洞。

威胁行为者已经能够交付植入程序思科 Talos 研究人员在另一份报告中表示，即使在通过尚未确定的机制完全修补 CVE-2021-1435 的设备上，也能成功地进行修复。

思科表示，它在 9 月 28 日响应涉及客户设备异常行为的事件时首次获悉该新漏洞。该公司随后的调查显示，与该漏洞相关的恶意活动实际上可能早在 9 月 18 日就开始了。第一个事件以攻击者利用该缺陷从可疑 IP 地址创建具有管理员权限的本地用户帐户而告终。

10 月 12 日，思科 Talos 事件响应团队发现了另一群与该漏洞相关的恶意活动。与第一起事件一样，攻击者最初从可疑的 IP 地址创建了本地用户帐户。但这一次，威胁行为者采取了一些额外的恶意行为，包括删除植入程序以进行任意命令注入。

“为了使植入生效，必须重新启动网络服务器，”思科 Talos 说。思科指出：“至少在一个观察到的案例中，服务器没有重新启动，因此尽管安装了植入程序，但它从未激活。” 植入物本身并不持久，这意味着组织可以通过设备重启来摆脱它。

但是，攻击者可以通过 CVE-2023-20198 创建的本地用户帐户是持久的，即使在设备重新启动后，攻击者也可以继续对受影响的系统进行管理员级别的访问。

已发现数千台受感染的主机

据威胁情报公司 VulnCheck 称，扫描了面向互联网的 Cisco IOS XE Web 界面，目前发现了数千台受感染的主机。

“思科掩盖了这一事实，没有提及数千个面向互联网的 IOS XE 系统已被植入。这是一个糟糕的情况，因为 IOS XE 上的特权访问可能允许攻击者监控网络流量、进入受保护的网络并执行任何数量的操作。中间人攻击”，VulnCheck 首席技术官 Jacob Baines说道。

“ VulnCheck 已对大约 10,000 个植入系统进行了指纹识别，但我们只扫描了 Shodan/Censys 上列出的大约一半设备。我们不想承诺具体数字，因为随着我们继续开展活动，该数字正在不断演变（增加），”贝恩斯告诉 BleepingComputer。

Shodan 搜索启用了 Web UI 的思科设备（由 Aves Netsec 首席执行官 Simo Kohonen分享）目前显示超过 140,000 个暴露在互联网上的设备。