10月16日，思科Talos发布了一篇文章，警告思科IOS XE软件的Web用户界面（Web UI）功能中存在0day漏洞，该漏洞已被未知的攻击者在野利用。思科警告说，成功的利用可能允许攻击者创建一个具有15级访问权限的帐户，这是能让用户完全控制路由器的最高权限。

9月28日调查的一个客户支持案例引起了思科Talos的警觉。在调查期间，思科发现了早在9月18日的证据，表明一个未知的可疑IP地址创建了一个新的用户帐户。10月12日观察到了额外的威胁活动，一个用户帐户被创建，同时一个配置文件被上传，以允许攻击者执行命令并保持对受影响设备的长期访问。

验证

Cisco Talos 提供了如下命令检查植入是否存在，其中systemip是待检查系统的IP地址。这个命令应从有待检查系统访问权限的工作站发出：

curl -k -X POST "https://systemip/webui/logoutconfirm.html?logon_hash=1"

如果请求返回了一个16进制字符串，表明植入是存在的。

注意：如果系统已配置只允许HTTP访问，则使用http://发出上述命令

参考链接：

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z

互联网的分布情况

使用360Quake搜索启用了 Web UI 的思科IOS XE设备，目前显示有超过 170,000 个暴露在互联网上的设备，语法为app:"Cisco IOS XE"。

已被威胁行为者植入的设备超过42000个，且在持续发现中。

处置建议

目前思科还未修补此一安全漏洞，思科强烈建议客户应在所有接入公开网络的设备上，关闭 HTTP Server 功能。

欢迎进群

添加管理员微信号：quake_360

备注 您的账号 邀请加入技术交流群