駭客利用最近披露的滿分嚴重漏洞:CVE-2023-20198,成功侵入超過四萬台運行IOS XE作業系統的思科設備。思科目前尚無可用的修補或解決方法,唯一的建議是在所有公開於網路的系統上禁用HTTP伺服器功能以保護設備安全。
相關文章:思科示警未修補的IOS XE零日漏洞正被積極利用
運行思科IOS XE的網路設備包括企業交換機、工業路由器、接入點、無線控制器、聚合設備和分支路由器。最初,估計遭到侵害的思科IOS XE設備約為一萬台。隨著安全研究人員在網路進行更準確的掃描後,發現不只這一萬台。LeakIX引擎表示,他們搜索發現約三萬台被感染設備,這還沒包含那些感染後重啟的系統。
LeakIX這次搜索使用思科提供的感染指標(IoCs),以確定CVE-2023-20198是否成功感染暴露設備。結果表明,美國、菲律賓和智利等國數千台主機被感染。
電信龍頭Orange公司電腦應急回應小組(CERT)使用相同的方法進行驗證。他們在10月20日表示,駭客利用CVE-2023-20198發動攻擊,已經向超過34500個思科 IOS XE IP地址植入了惡意程式碼。
該小組還發佈了一個Python腳本,協助掃描運行思科 IOS XE系統的網路設備是否存在惡意程式碼。
目前Censys搜索平臺發佈更新文章,表示該平臺發現的受感染設備數量已經增長到41983台。儘管很難準確估計受感染思科IOS XE設備數量,但Shodan搜索顯示,此類主機數量略大於145000台,其中大多數位於美國。
資安研究員也利用Shodan引擎搜索受到CVE-2023-20198漏洞威脅的思科 IOS XE設備,發現有近九萬台主機暴露在網路上。
在美國,許多思科IOS XE設備來自於電信提供商,如 Comcast, Verizon, Cox Communications, Frontier, AT&T, Spirit, CenturyLink, Charter, Cobridge, Windstream, and Google Fiber.
Sejiyama還列出了很多其他有思科IOS XE設備在網路上暴露的組織單位,其中不乏醫療中心、大學、警察單位、學區、便利商店、銀行、醫院和政府。專家表示,用戶不應該將IOS XE登入畫面公開在網路上,並應該遵循思科建議避免將web UI和管理服務暴露在公開網路或不受信任的網路。
專家也表示,會發生這樣的錯誤代表使用思科IOS XE設備的用戶組織可能壓根不知道有這個漏洞或攻擊行為。
設備重啟後仍存在風險
攻擊者早在9月28日之前就已經開始利用CVE-2023-20198 漏洞。他們在被感染主機上建立了高許可權帳戶,完全控制了設備。
思科近日更新了相關警告,公佈了新攻擊者IP地址和用戶名,以及針對Snort開源網路入侵偵測系統和入侵防護系統的新規則。
研究人員指出,這些攻擊的幕後威脅行為者植入了惡意程式碼,這些程式碼不具備持久性,重啟設備即可清除。
但是,惡意程式碼建立的新帳戶將仍然可用。這些帳戶擁有對設備的完整管理員存取權限。據思科分析,威脅行為者會收集有關設備的詳細資訊,並進行初步偵察。攻擊者還會清除日誌、刪除使用者,這或許是為了掩蓋他們的活動。
研究人員認為,這些攻擊背後只有一個威脅行為者,但無法確定初始傳遞機制。思科尚未披露有關攻擊的更多細節,但承諾在完成調查並提供修補時公布更多資訊。
本文轉載自BleepingComputer。