QUAKE
因为看见 所以安全
背景
10月16日,思科Talos发布了一篇文章,警告思科IOS XE软件的Web用户界面(Web UI)功能中存在0day漏洞,该漏洞已被未知的攻击者在野利用。思科警告说,成功的利用可能允许攻击者创建一个具有15级访问权限的帐户,这是能让用户完全控制路由器的最高权限。
9月28日调查的一个客户支持案例引起了思科Talos的警觉。在调查期间,思科发现了早在9月18日的证据,表明一个未知的可疑IP地址创建了一个新的用户帐户。10月12日观察到了额外的威胁活动,一个用户帐户被创建,同时一个配置文件被上传,以允许攻击者执行命令并保持对受影响设备的长期访问。
验证
Cisco Talos 提供了如下命令检查植入是否存在,其中systemip是待检查系统的IP地址。这个命令应从有待检查系统访问权限的工作站发出:
curl -k -X POST "https://systemip/webui/logoutconfirm.html?logon\_hash=1"
如果请求返回了一个16进制字符串,表明植入是存在的。
_注意:_如果系统已配置只允许HTTP访问,则使用http://发出上述命令
参考链接:
互联网的分布情况
使用360Quake搜索启用了 Web UI 的思科IOS XE设备,目前显示有超过 170,000 个暴露在互联网上的设备,语法为app:"Cisco IOS XE"。
已被威胁行为者植入的设备超过42000个,且在持续发现中。
处置建议
目前思科还未修补此一安全漏洞,思科强烈建议客户应在所有接入公开网络的设备上,关闭 HTTP Server 功能。
欢迎进群
添加管理员微信号:quake_360
备注 您的账号 邀请加入技术交流群