思科要求客户立即禁用所有面向互联网的 IOS XE 设备上的 HTTPS 服务器功能，以防止攻击者主动利用操作系统 Web 用户界面中的严重零日漏洞。

Cisco IOS XE 是思科用于其下一代企业网络设备的操作系统。

该缺陷编号为 CVE-2023-20198，影响所有启用了 Web UI 功能的 Cisco IOS XE 设备。目前还没有针对该缺陷的补丁或其他解决方法，思科将其描述为可实现完全设备接管的权限升级问题。思科已根据 CVSS 等级为该漏洞指定最高可能的严重性评级为 10 级（满分 10 级）。

CVE-2023-20198：最高严重性缺陷

思科在 10 月 16 日关于新的零日漏洞的公告中表示： “该漏洞允许未经身份验证的远程攻击者在受影响的系统上创建具有 15 级访问权限的帐户。” “然后攻击者可以使用该帐户来控制受影响的系统。” Cisco IOS 系统上的权限级别 15 基本上意味着可以完全访问所有命令，包括重新加载系统和进行配置更改的命令。

一名未知攻击者一直在利用该漏洞访问思科面向互联网的 IOS XE 设备，并植入 Lua 语言植入程序，以便在受影响的系统上执行任意命令。为了删除植入程序，威胁行为者一直在利用另一个缺陷 – CVE-2021-1435，这是 IOS XE Web UI 组件中的一个中等严重性的命令注入漏洞，思科于 2021 年修补了该漏洞。威胁行为者已经能够交付植入程序思科 Talos 研究人员在另一份报告中表示，即使在通过尚未确定的机制完全修补 CVE-2021-1435 的设备上，也能成功地进行修复。

思科表示，它在 9 月 28 日响应涉及客户设备异常行为的事件时首次获悉该新漏洞。该公司随后的调查显示，与该漏洞相关的恶意活动实际上可能早在 9 月 18 日就开始了。第一个事件以攻击者利用该缺陷从可疑 IP 地址创建具有管理员权限的本地用户帐户而告终。

针对思科网络的恶意活动集群

10 月 12 日，思科 Talos 事件响应团队发现了另一群与该漏洞相关的恶意活动。与第一起事件一样，攻击者最初从可疑的 IP 地址创建了本地用户帐户。但这一次，威胁行为者采取了一些额外的恶意行为，包括删除植入程序以进行任意命令注入。

“为了使植入生效，必须重新启动网络服务器，”思科 Talos 说。思科指出：“至少在一个观察到的案例中，服务器没有重新启动，因此尽管安装了植入程序，但它从未激活。” 植入物本身并不持久，这意味着组织可以通过设备重启来摆脱它。

但是，攻击者可以通过 CVE-2023-20198 创建的本地用户帐户是持久的，即使在设备重新启动后，攻击者也可以继续对受影响的系统进行管理员级别的访问。思科 Talos 研究人员敦促各组织留意 IOS XE 设备上的新用户或不明原因的用户，作为攻击者利用该缺陷的潜在证据。他们还提供了一个命令，组织可以使用该命令来确定任何受影响的设备上是否存在植入物。

立即实施指导

该公司表示：“我们强烈建议可能受到该活动影响的组织立即实施思科产品安全事件响应团队 (PSIRT)咨询中的指导大纲。” 思科已评估出与新缺陷相关的两个恶意活动群背后都是同一威胁行为者。

Cisco IOS XE 的 Web UI 组件是一项系统管理功能，允许管理员为系统提供服务。思科将其描述为简化系统部署和可管理性。CVE-2023-20198 是思科最近几周在同一功能中披露的第二个重大漏洞。9月份，该公司披露了CVE-2023-20231，这是一个命令注入漏洞，该漏洞还允许攻击者获得IOS XE设备上的15级权限。

网络技术（例如思科的技术）上的零日错误以及任何启用管理员级别权限的错误对于攻击者来说尤其有价值。正如美国网络安全和基础设施安全局 (CISA) 和许多其他机构所指出的那样，网络路由器交换机、防火墙、负载平衡器和其他类似技术是理想的目标，因为大多数或所有流量都必须流经它们。