Cisco 系统发布针对零日漏洞的修复

关键要点

• Cisco 系统发布了针对两个零日漏洞的修复，其中一个漏洞被评为严重等级，可能影响成千上万台运行 IOS XE 软件的设备。
• 这些漏洞使攻击者能够完全控制互联网暴露的 Cisco 设备的 Web 用户界面（Web UI）。
• 使用 CVE-2023-20198，攻击者可创建具有最高权限级别的本地用户账户，而第二个漏洞 CVE-2023-20273 允许在受损设备上安装后门程序。
• 在修复软件发布前，受影响的设备数量显著下降，具体原因仍存疑。

Cisco 系统近期发布了针对一对零日漏洞的修复，其中一个漏洞的风险被评为关键，这可能会影响到数万台运行其 IOS XE软件的设备。这些更新是在一个动荡的一周结束时发布的，起初在10月16日，网络设备供应商宣布其发现了一个严重缺陷，该缺陷的 CVSS 得分为
10，并且自2023年9月28日起就被攻击者利用，以便完全控制互联网暴露的 Cisco 设备的 Web 用户界面。

接下来的几天，安全研究人员发现有成千上万的路由器和交换机被入侵，而 Cisco随后确认这实际上是一个利用了两个零日漏洞的攻击链。在上周末，随着修复软件的发布（可通过 Cisco软件下载中心获取），研究人员的扫描显示受感染设备的数量神秘地下降了。这引发了对数千台设备为何突然看似未受感染的猜测。

零日漏洞一变为二

Cisco 于10月16日的公告中指出，最初发现的严重漏洞被跟踪为
，允许攻击者在受影响设备上创建具有权限级别
15 的账户，这是可能的最高权限。

“攻击者首先利用 CVE-2023-20198 获取初始访问权限，并发出权限 15 的命令以创建本地用户及密码组合。这使得该用户可以以普通用户身份登录。”
Cisco 在10月20日发布的
中表示。

第二个漏洞允许在受损设备上部署基于 Lua 的后门程序。

“攻击者接着利用 Web UI 功能的另一个组件，借助新创建的本地用户提升权限到 root 并将 [Lua] 后门植入文件系统。”公告中说明。

第二个漏洞被跟踪为 ，其 CVSS 得分为 7.2。

“后门程序并不持久，意味着设备重启后将被移除，但新创建的本地用户账户在系统重启后依旧有效，”Cisco Talos 的研究人员在一篇
中表示。“这些新用户账户具有 15 级权限，意味着它们具有完整的管理员访问权限。”

目前尚未确定负责利用这些漏洞的威胁团伙。

恶意软件神秘消失

在上周末，研究人员扫描易受攻击的 Cisco 设备时，注意到与周初相比，受影响设备的数量显著下降。在一则 中，ONYPHE表示，其扫描发现周六有 1214 个独特的受损 IP 地址，较前一天的 4 万多个下降明显。

“我们仍然大致有相同数量的可访问 Cisco 设备（约 6 万），但大多数不再显示 Talos 发现的后门程序。”该帖子指出。

尽管下降的原因有很多可能的解释，CERT Orange Cyberdefense ，这可能是“威胁行为者正在进行潜在的痕迹清理步骤以隐藏后门程序”。另一种可能性是，某个网络安全或执法机构，