长亭百川云 - 文章详情

CVE-2023-20198在野利用:超过170000台思科设备暴露

360Quake空间测绘

50

2024-07-13

QUAKE

因为看见 所以安全

背景

10月16日,思科Talos发布了一篇文章,警告思科IOS XE软件的Web用户界面(Web UI)功能中存在0day漏洞,该漏洞已被未知的攻击者在野利用。思科警告说,成功的利用可能允许攻击者创建一个具有15级访问权限的帐户,这是能让用户完全控制路由器的最高权限。

9月28日调查的一个客户支持案例引起了思科Talos的警觉。在调查期间,思科发现了早在9月18日的证据,表明一个未知的可疑IP地址创建了一个新的用户帐户。10月12日观察到了额外的威胁活动,一个用户帐户被创建,同时一个配置文件被上传,以允许攻击者执行命令并保持对受影响设备的长期访问。

验证

Cisco Talos 提供了如下命令检查植入是否存在,其中systemip是待检查系统的IP地址。这个命令应从有待检查系统访问权限的工作站发出:

curl -k -X POST "https://systemip/webui/logoutconfirm.html?logon\_hash=1"

如果请求返回了一个16进制字符串,表明植入是存在的。

_注意:_如果系统已配置只允许HTTP访问,则使用http://发出上述命令

参考链接:

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z

互联网的分布情况

使用360Quake搜索启用了 Web UI 的思科IOS XE设备,目前显示有超过 170,000 个暴露在互联网上的设备,语法为app:"Cisco IOS XE"。

已被威胁行为者植入的设备超过42000个,且在持续发现中。

处置建议

目前思科还未修补此一安全漏洞,思科强烈建议客户应在所有接入公开网络的设备上,关闭 HTTP Server 功能。

欢迎进群

添加管理员微信号:quake_360

备注 您的账号 邀请加入技术交流群

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2