思科对 IOS XE 零日漏洞的主动利用发出警告

思科警告客户其 IOS XE 软件中存在严重的零日漏洞，该漏洞在攻击中被积极利用。

思科警告客户，其 IOS XE 软件中存在一个被主动利用的零日漏洞，该漏洞被追踪为 CVE-2023-2‍0198 （CVSS 评分 10）。这家 IT 巨头在解决多个技术援助中心 (TAC) 支持案例时发现了该漏洞。

攻击者可以利用该漏洞获得管理员权限并接管存在漏洞的路由器。

供应商发布的通报指出，利用该漏洞，未经身份验证的远程攻击者可以在受影响的系统上创建具有 15 级访问权限的帐户。

“思科意识到，当暴露于互联网或不受信任的网络时，Cisco IOS XE 软件的 Web UI 功能中的一个先前未知的漏洞会被主动利用。” 阅读该公司发布的公告。“此漏洞允许未经身份验证的远程攻击者在受影响的系统上创建具有 15 级访问权限的帐户。然后，攻击者可以使用该帐户来控制受影响的系统。”

该缺陷会影响运行启用了 Web 用户界面 (Web UI) 功能并使用 HTTP 或 HTTPS 服务器功能的物理和虚拟设备。

该公司敦促管理员检查系统日志中是否存在以下任何日志消息，其中用户可能 是 cisco_tac_admin、cisco_support 或网络未知的任何已配置本地用户。

思科 Talos 研究人员于 2023 年 9 月 28 日首次发现利用该漏洞的攻击。

“该活动包括授权用户通过可疑 IP 地址 (5.149.249[.]74) 以用户名“cisco_tac_admin”创建本地用户帐户。此活动于 10 月 1 日结束，当时除了创建可疑帐户外，我们没有观察到任何其他相关行为。” 思科 Talos说道。“10 月 12 日，思科 Talos 事件响应 (Talos IR) 和 TAC 检测到我们后来确定为同一天开始的另一组相关活动。在此集群中，观察到未经授权的用户从第二个可疑 IP 地址 (154.53.56[.]231) 以“cisco_support”名称创建本地用户帐户。与 9 月份的案例不同，这次 10 月份的活动包括多项后续行动，包括部署由配置文件（“cisco_service.conf”）组成的植入程序。”

研究人员认为，这一系列活动很可能是由同一人实施的。

9 月份观察到的集群可能是威胁行为者测试其代码的初步尝试，而 10 月份的活动则与行动的扩展有关，包括通过部署植入程序建立持久访问。

思科建议管理员禁用暴露在互联网上的系统上的 HTTP 服务器功能。

“思科强烈建议客户在所有面向互联网的系统上禁用 HTTP 服务器功能。要禁用 HTTP 服务器功能，请 在全局配置模式下使用no ip http server 或 no ip http secure-server命令。如果同时使用 HTTP 服务器和 HTTPS 服务器，则需要这两个命令才能禁用 HTTP 服务器功能。” 该通报的结论还包括妥协指标(IoC) 。“禁用 HTTP 服务器功能后，使用 copy running-configurationstartup-configuration 命令保存 运行配置。这将确保在系统重新加载时 HTTP 服务器功能不会意外启用。”

原文来自: securityaffairs.com