思科揭露零日漏洞 衝擊全球裝置
編譯/Cynthia
資訊安全問題在數位時代變得日益重要,而思科(Cisco)最近的警告再次引起了我們對這個課題的關注。他們揭示一個名為 CVE-2023-20273 的零日漏洞,這個問題目前正被駭客積極利用,影響全球各地的設備。現在,讓我們深入了解這個警告,以了解其重要性。
第一波零日漏洞威脅
不久前,思科向其客戶發出警告,關於其 IOS XE 軟體中的另一個零日漏洞,被追蹤為 CVE-2023-20198(CVSS 評分 10)。這並不僅僅是一個警告,它是一個現實的問題,因為駭客已經在積極利用這個漏洞進行攻擊。
更多新聞:未被發現新零日漏洞 仍暗藏威脅
零日漏洞的危害
駭客已經成功利用這個零日漏洞,來入侵數千台思科 IOS XE 設備,這個問題引起了安全公司 VulnCheck 的警告。這個漏洞讓攻擊者能夠獲得管理員權限,進一步接管容易受攻擊的路由器,對於設備和數據的安全造成了重大威脅。
全球受影響的設備
這個漏洞影響著啟用使用者介面(Web User Interface,Web UI)功能並使用 HTTP 或 HTTPS Server 功能的實體和虛擬設備。這也意味著您的路由器或交換機如果運行這些功能,也可能處於風險之中。這提醒著我們,不僅是企業,個人也應該關心和保護自己的設備。
思科的建議
思科強烈建議系統管理員檢查系統日誌,以確保是否存在攻擊痕跡。如果您在日誌中看到特定的用戶名稱,特別是 cisco_tac_admin、cisco_support 或任何對網路不熟悉的本地用戶,這可能是一個值得關注的目標。並且思科建議關閉互聯網上公開訪問的系統上的 HTTP 服務器功能,以降低風險。
全球受感染的設備
根據 LeakIX 研究人員使用思科 Talos 釋放的入侵指標(IOCs)的數據,已經發現約 30,000 台思科 IOS XE 設備(包括路由器、交換機和 VPN)被成功入侵,而其中大多數位於美國、菲律賓、智利和墨西哥。這個問題也提醒著我們,這不僅僅是一個國際問題,也有可能影響到了台灣及亞太地區。
第二波攻擊,更多的零日漏洞
然而,問題並未就此結束。思科在調查利用漏洞 CVE-2023-20198的攻擊時,意外發現了攻擊者也在利用另一個零日漏洞。這意味著我們正面臨著更多的威脅,這是一個更令人擔憂的情況。在調查發現,攻擊者首先利用 CVE-2023-20198 來獲得初始訪問權,然後發出管理員權限命令來創建本地用戶和密碼組合。這讓攻擊者能夠以普通用戶訪問權進行登錄。接著,他們利用 Web UI 功能的另一個套件,並利用新的本地用戶提升特權至 root,並將植入寫入文件系統,這個新的漏洞被追蹤為 CVE-2023-20273(CVSS 評分 7.2)。
思科的應對措施
幸運的是,思科已經採取了措施來解決這兩個零日漏洞,同時也提供了緩解措施。這提醒我們,資訊安全是一個不斷演進的領域,需要持續的關注、學習和改進,以確保我們的數位世界是安全的。無論是企業還是個人,我們都應該積極參與保護我們的網路設備,確保我們的數位生活不會受到威脅。
資料來源:Security Affairs
瀏覽 603 次