据多家网络安全公司称,利用未修补的 IOS XE 漏洞遭到黑客攻击的思科设备数量已达到约 40,000 台。
所利用的漏洞是 CVE-2023-20198,这是一个影响 IOS XE Web 界面的严重缺陷,未经身份验证的远程攻击者可以利用该漏洞进行权限升级。
思科尚未发布补丁,该公司警告称,该漏洞至少从 9 月中旬起就已被作为零日漏洞利用。
CVE-2023-20198 允许威胁行为者在目标设备上创建高权限帐户并完全控制系统。在某些情况下,攻击者被发现提供了一个植入程序,使他们能够执行任意命令。
思科表示,在某些情况下,植入程序是通过跟踪为 CVE-2021-1435 的较旧缺陷提供的,但以前未知的漏洞也可能被利用,因为该植入程序也被发现在针对 CVE-2021-1435 修补的系统上。
漏洞情报公司 VulnCheck 在零日漏洞的存在曝光后不久进行了互联网扫描,发现了 10,000 个受到感染的交换机和路由器,但指出随着扫描的持续进行,这个数字可能还会增加。
虽然 VulnCheck 尚未提供更新,但互联网搜索引擎 Censys 在 10 月 17 日进行的扫描显示,有 67,000 个暴露于互联网的 IOS XE Web 界面,其中包括超过 34,000 个似乎被后门的主机。Censys 第二天进行的另一次扫描显示,被黑客攻击的系统数量增加到近 42,000 个。
大多数受感染的思科设备似乎位于美国,其次是菲律宾和拉丁美洲。印度、泰国、新加坡和澳大利亚也有大量感染病例。
图片
LeakIX 负责扫描互联网上是否存在易受攻击的系统,最初报告称在大约 30,000 台思科设备上发现了恶意植入,但其最新扫描发现另外10,000 个受感染的系统。
威胁情报公司 GreyNoise 一直在使用其蜜罐来跟踪攻击尝试,截至 10 月 19 日,它已发现来自 230 个唯一 IP 地址的攻击。