思科在 10 月 16 日关于新的零日漏洞的公告中表示: “该漏洞允许未经身份验证的远程攻击者在受影响的系统上创建具有 15 级访问权限的帐户。”
“然后攻击者可以使用该帐户来控制受影响的系统。” Cisco IOS 系统上的权限级别 15 基本上意味着可以完全访问所有命令,包括重新加载系统和进行配置更改的命令。
一名未知攻击者一直在利用该漏洞访问思科面向互联网的 IOS XE 设备,并植入 Lua 语言植入程序,以便在受影响的系统上执行任意命令。
为了删除植入程序,威胁行为者一直在利用另一个缺陷 – CVE-2021-1435,这是 IOS XE Web UI 组件中的一个中等严重性的命令注入漏洞,思科于 2021 年修补了该漏洞。
威胁行为者已经能够交付植入程序思科 Talos 研究人员在另一份报告中表示,即使在通过尚未确定的机制完全修补 CVE-2021-1435 的设备上,也能成功地进行修复。
思科表示,它在 9 月 28 日响应涉及客户设备异常行为的事件时首次获悉该新漏洞。该公司随后的调查显示,与该漏洞相关的恶意活动实际上可能早在 9 月 18 日就开始了。第一个事件以攻击者利用该缺陷从可疑 IP 地址创建具有管理员权限的本地用户帐户而告终。
10 月 12 日,思科 Talos 事件响应团队发现了另一群与该漏洞相关的恶意活动。与第一起事件一样,攻击者最初从可疑的 IP 地址创建了本地用户帐户。但这一次,威胁行为者采取了一些额外的恶意行为,包括删除植入程序以进行任意命令注入。
“为了使植入生效,必须重新启动网络服务器,”思科 Talos 说。思科指出:“至少在一个观察到的案例中,服务器没有重新启动,因此尽管安装了植入程序,但它从未激活。” 植入物本身并不持久,这意味着组织可以通过设备重启来摆脱它。
但是,攻击者可以通过 CVE-2023-20198 创建的本地用户帐户是持久的,即使在设备重新启动后,攻击者也可以继续对受影响的系统进行管理员级别的访问。
已发现数千台受感染的主机
据威胁情报公司 VulnCheck 称,扫描了面向互联网的 Cisco IOS XE Web 界面,目前发现了数千台受感染的主机。
“思科掩盖了这一事实,没有提及数千个面向互联网的 IOS XE 系统已被植入。这是一个糟糕的情况,因为 IOS XE 上的特权访问可能允许攻击者监控网络流量、进入受保护的网络并执行任何数量的操作。中间人攻击”,VulnCheck 首席技术官 Jacob Baines说道。
“ VulnCheck 已对大约 10,000 个植入系统进行了指纹识别,但我们只扫描了 Shodan/Censys 上列出的大约一半设备。我们不想承诺具体数字,因为随着我们继续开展活动,该数字正在不断演变(增加),”贝恩斯告诉 BleepingComputer。
Shodan 搜索启用了 Web UI 的思科设备(由 Aves Netsec 首席执行官 Simo Kohonen分享)目前显示超过 140,000 个暴露在互联网上的设备。