美國網路安全暨基礎設施安全局(CISA)將Cisco IOS XE的漏洞CVE-2023-20273新增至其已知被利用的漏洞清單中。
該漏洞是Cisco IOS XE的Web UI中一個未預期的錯誤,攻擊者可以將此漏洞與CVE-2023-20198一起使用,以利用新的本地用戶權限提升到root權限並在檔案系統植入惡意程式。
Cisco上週10/16通知客戶目前存在一個被積極利用來進行攻擊的零日漏洞,該漏洞被標記為CVE-2023-20198,其CVSS分數為10,該漏洞位於Cisco IOS XE作業系統的網頁使用者介面,Cisco是在其技術支援中心(TAC)所支援的多個案例中發現了這個漏洞,攻擊者可以利用這個漏洞來獲得管理員權限並接管那些未受到妥善保護的路由器。
在調查利用CVE-2023-20198漏洞的相關攻擊時,Cisco注意到已針對此問題進行過修補的系統再次遭到攻擊,這種情況顯示威脅攻擊者正在利用第二個零日漏洞。
該公司發布的公告中指出,經過他們的調查,確定攻擊者利用了兩個未知的漏洞進行了攻擊行為。攻擊者首先利用CVE-2023-20198來獲得初始訪問權限,並使用系統最高的第15級權限來創建新的本地用戶和密碼,並且有正常的訪問權限。
然後,攻擊者利用另一漏洞,透過Web UI將新的本地用戶權限提升到root權限並將惡意程式寫入檔案系統。目前Cisco已將此事件定為CVE-2023-20273,其CVSS分數為7.2。
美國CISA也已發布了處理CVE-2023-20198和CVE-2023-20273漏洞的相關指南。根據其公告於 2021 年 11 月的具約束力操作指引 (binding operational directive) BOD 22-01 規定,在 CISA 公布新的已遭用於攻擊漏洞時,所有美國聯邦政府民事機關,都必須針對相關漏洞進行處理。據此,CISA要求聯邦機構在2023年10月27日之前修復此漏洞。
目前思科已正式發佈軟體更新,以解決 Cisco IOS XE 軟體版本 17.9 中兩個經常被利用的安全漏洞,並正在修復版本 17.6、17.3 和 16.12。可以在此處存取其他發布資訊。