91成人在线免费视频,欧美孕妇性生活,日韩一区二区三区在线免费观看

超過4萬臺思科設備被植入后門賬號：零日漏洞攻擊，暴露即被黑

責編：gltian ｜2023-10-23 14:45:28

黑客利用最近披露的滿分嚴重漏洞（CVE-2023-20198），成功侵入超過四萬臺運行IOS XE操作系統的思科設備。

目前尚無可用的補丁或解決方法，唯一的建議是“在所有面向互聯網的系統上禁用HTTP服務器功能”以保護設備安全。

運行思科IOS XE的網絡設備包括企業交換機、工業路由器、接入點、無線控制器、聚合設備和分支路由器。

數萬臺思科設備遭暴露

最初，估計遭到侵害的思科IOS XE設備約為一萬臺。隨著安全研究人員對互聯網進行更準確的掃描，這一數字開始增長。

周二，收錄互聯網上暴露服務和Web應用的LeakIX引擎表示，他們搜索發現約三萬臺被感染設備，這還沒計入那些感染后重啟的系統。

這次搜索使用思科提供的感染指標（IoCs），以確定CVE-2023-20198是否成功感染暴露設備。結果表明，美國、菲律賓和智利等國數千臺主機被感染。

LeakIX針對在線暴露思科IOS XE設備的搜索結果

Orange公司計算機應急響應小組（CERT）使用相同的方法進行驗證。他們在10月20日表示，黑客利用CVE-2023-20198發動攻擊，已經向超過34500個思科 IOS XE IP地址植入了惡意代碼。

該小組還發布了一個Python腳本，用于掃描運行思科 IOS XE系統的網絡設備是否存在惡意代碼。

周三（10月18日），專注于評估聯網設備攻擊面的Censys搜索平臺發布更新文章，表示該平臺發現的受感染設備數量已經增長到41983臺。

Censys針對公共網絡思科IOS XE主機的搜索結果

盡管很難準確獲得可由公共網絡訪問的思科IOS XE設備數量，但Shodan搜索顯示，此類主機數量略大于145000臺，其中大多數位于美國。

下面這張截屏展示了Aves Netsec網絡安全公司首席執行官 Simo Kohonen，通過Shodan搜索確定的Web用戶界面可從互聯網訪問的思科設備。

針對被暴露思科IOS XE系統的Shodan搜索結果

此外，安全研究員Yutaka Sejiyama也利用Shodan引擎搜索受到CVE-2023-20198漏洞威脅的思科 IOS XE設備，發現有近九萬臺主機暴露在互聯網上。

在美國，許多此類設備屬于通信提供商，如康卡斯特、威瑞森、考克斯通信公司、邊疆通信、電話電報公司、Spirit、世紀互聯、特許通訊、Cobridge、Windstream和谷歌光纖。

Sejiyama還列出了很多其他有思科IOS XE設備在互聯網上暴露的實體，其中不乏醫療中心、大學、警署、學區、便利店、銀行、醫院和政府。

Sejiyama表示：“首先，用戶就不應該將IOS XE登錄屏暴露在互聯網上?！彼厣炅怂伎频慕ㄗh，不要將Web用戶界面和管理服務暴露在公共網絡或不受信任的網絡。

作為研究人員，Sejiyama對這種做法表示擔憂，表示“這樣使用設備的組織可能壓根不知道存在這個漏洞或攻擊行為?！?/p>

設備重啟后仍存在風險

思科于周一披露了CVE-2023-20198漏洞。然而，威脅行為者在9月28日之前就已經開始利用這一漏洞。他們在被感染主機上創建了高權限帳戶，完全控制了設備。

思科昨天更新了相關警告，公布了新攻擊者IP地址和用戶名，以及針對Snort開源網絡入侵檢測系統和入侵防護系統的新規則。

研究人員指出，這些攻擊的幕后威脅行為者植入了惡意代碼，這些代碼不具備持久性，重啟設備即可清除。

但是，惡意代碼創建的新帳戶將仍然可用。這些賬戶“具有15級權限，這意味著它們擁有對設備的完整管理員訪問權限?！?/p>

據思科分析，威脅行為者會收集有關設備的詳細信息，并進行初步偵察。攻擊者還會清除日志、刪除用戶，這或許是為了掩蓋他們的活動。

研究人員認為，這些攻擊背后只有一個威脅行為者，但無法確定初始傳遞機制。

思科尚未披露有關攻擊的更多細節，但承諾在完成調查并提供補丁時提供更多信息。

參考資料：https://www.bleepingcomputer.com/news/security/over-40-000-cisco-ios-xe-devices-infected-with-backdoor-using-zero-day/

來源：安全內參