思科揭露零日漏洞　衝擊全球裝置

編譯／Cynthia

資訊安全問題在數位時代變得日益重要，而思科（Cisco）最近的警告再次引起了我們對這個課題的關注。他們揭示一個名為 CVE-2023-20273 的零日漏洞，這個問題目前正被駭客積極利用，影響全球各地的設備。現在，讓我們深入了解這個警告，以了解其重要性。

第一波零日漏洞威脅

不久前，思科向其客戶發出警告，關於其 IOS XE 軟體中的另一個零日漏洞，被追蹤為 CVE-2023-20198（CVSS 評分 10）。這並不僅僅是一個警告，它是一個現實的問題，因為駭客已經在積極利用這個漏洞進行攻擊。

更多新聞：未被發現新零日漏洞　仍暗藏威脅

零日漏洞的危害

駭客已經成功利用這個零日漏洞，來入侵數千台思科 IOS XE 設備，這個問題引起了安全公司 VulnCheck 的警告。這個漏洞讓攻擊者能夠獲得管理員權限，進一步接管容易受攻擊的路由器，對於設備和數據的安全造成了重大威脅。

全球受影響的設備

這個漏洞影響著啟用使用者介面（Web User Interface，Web UI）功能並使用 HTTP 或 HTTPS Server 功能的實體和虛擬設備。這也意味著您的路由器或交換機如果運行這些功能，也可能處於風險之中。這提醒著我們，不僅是企業，個人也應該關心和保護自己的設備。

思科的建議

思科強烈建議系統管理員檢查系統日誌，以確保是否存在攻擊痕跡。如果您在日誌中看到特定的用戶名稱，特別是 cisco_tac_admin、cisco_support 或任何對網路不熟悉的本地用戶，這可能是一個值得關注的目標。並且思科建議關閉互聯網上公開訪問的系統上的 HTTP 服務器功能，以降低風險。

全球受感染的設備

根據 LeakIX 研究人員使用思科 Talos 釋放的入侵指標（IOCs）的數據，已經發現約 30,000 台思科 IOS XE 設備（包括路由器、交換機和 VPN）被成功入侵，而其中大多數位於美國、菲律賓、智利和墨西哥。這個問題也提醒著我們，這不僅僅是一個國際問題，也有可能影響到了台灣及亞太地區。

第二波攻擊，更多的零日漏洞

然而，問題並未就此結束。思科在調查利用漏洞 CVE-2023-20198的攻擊時，意外發現了攻擊者也在利用另一個零日漏洞。這意味著我們正面臨著更多的威脅，這是一個更令人擔憂的情況。在調查發現，攻擊者首先利用 CVE-2023-20198 來獲得初始訪問權，然後發出管理員權限命令來創建本地用戶和密碼組合。這讓攻擊者能夠以普通用戶訪問權進行登錄。接著，他們利用 Web UI 功能的另一個套件，並利用新的本地用戶提升特權至 root，並將植入寫入文件系統，這個新的漏洞被追蹤為 CVE-2023-20273（CVSS 評分 7.2）。

思科的應對措施

幸運的是，思科已經採取了措施來解決這兩個零日漏洞，同時也提供了緩解措施。這提醒我們，資訊安全是一個不斷演進的領域，需要持續的關注、學習和改進，以確保我們的數位世界是安全的。無論是企業還是個人，我們都應該積極參與保護我們的網路設備，確保我們的數位生活不會受到威脅。

資料來源：Security Affairs

瀏覽 443 次