警告：未修补的思科零日漏洞在野外受到积极攻击

思科警告称，IOS XE 软件存在一个未修补的严重安全漏洞，该漏洞正在被广泛利用。
该零日漏洞植根于 Web UI 功能，被指定为CVE-2023-20198，并在 CVSS 评分系统上被指定最高严重等级 10.0。
值得指出的是，该缺陷仅影响启用了 Web UI 功能且暴露于互联网或不受信任网络的企业网络设备。
思科在周一的公告中表示：“该漏洞允许未经身份验证的远程攻击者在受影响的系统上创建具有15 级访问权限的帐户。” “然后攻击者可以使用该帐户来控制受影响的系统。”
该问题会影响运行 Cisco IOS XE 软件且启用了 HTTP 或 HTTPS 服务器功能的物理和虚拟设备。作为缓解措施，建议在面向互联网的系统上禁用 HTTP 服务器功能。
这家网络设备专业公司表示，早在 2023 年 9 月 18 日就在一台身份不明的客户设备上检测到恶意活动后发现了该问题，其中授权用户从可疑 IP 地址以用户名“cisco_tac_admin”创建了本地用户帐户。此次异常活动于 2023 年 10 月 1 日结束。
在 2023 年 10 月 12 日发现的第二组相关活动中，未经授权的用户从不同的 IP 地址以“cisco_support”名称创建了本地用户帐户。

据称，随后采取了一系列行动，最终部署了基于 Lua 的植入程序，允许攻击者在系统级别或 IOS 级别执行任意命令。

植入程序的安装是通过利用CVE-2021-1435来实现的，CVE-2021-1435 是一个现已修补的缺陷，影响 Cisco IOS XE 软件的 Web UI，以及在系统针对 CVE 完全修补的情况下尚未确定的机制-2021-1435。

“为了使植入程序变得活跃，必须重新启动网络服务器；在至少一个观察到的案例中，服务器没有重新启动，因此尽管安装了植入程序，但植入程序从未变得活跃，”思科表示。

保存在文件路径“/usr/binos/conf/nginx-conf/cisco_service.conf”下的后门不是持久性的，这意味着它不会在设备重新启动后继续存在。也就是说，创建的流氓特权帐户继续保持活跃状态​​。

思科将这两组活动归因于可能是同一威胁行为者，尽管对手的确切来源目前尚不清楚。
该公司指出：“第一个集群可能是攻击者的最初尝试并测试了他们的代码，而 10 月份的活动似乎表明攻击者正在扩展他们的操作，包括通过部署植入程序来建立持久访问。”

这一进展促使美国网络安全和基础设施安全局 (CISA) 发布公告，并将该缺陷添加到已知可利用漏洞 ( KEV ) 目录中。

2023 年 4 月，英国和美国网络安全和情报机构就国家发起的针对全球网络基础设施的活动发出警报，思科表示，路由/交换机设备是“对于既想保持安静又想获取重要情报能力的对手的完美目标”以及在首选网络中的立足点。”