據(jù)多家網(wǎng)絡(luò)安全公司稱(chēng)，利用未修補(bǔ)的 IOS XE 漏洞遭到黑客攻擊的思科設(shè)備數(shù)量已達(dá)到約 40,000 臺(tái)。 

所利用的漏洞是 CVE-2023-20198，這是一個(gè)影響 IOS XE Web 界面的嚴(yán)重缺陷，未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可以利用該漏洞進(jìn)行權(quán)限升級(jí)。 

思科尚未發(fā)布補(bǔ)丁，該公司警告稱(chēng)，該漏洞至少?gòu)?9 月中旬起就已被作為零日漏洞利用。

CVE-2023-20198 允許威脅行為者在目標(biāo)設(shè)備上創(chuàng)建高權(quán)限帳戶(hù)并完全控制系統(tǒng)。在某些情況下，攻擊者被發(fā)現(xiàn)提供了一個(gè)植入程序，使他們能夠執(zhí)行任意命令。 

思科表示，在某些情況下，植入程序是通過(guò)跟蹤為 CVE-2021-1435 的較舊缺陷提供的，但以前未知的漏洞也可能被利用，因?yàn)樵撝踩氤绦蛞脖话l(fā)現(xiàn)在針對(duì) CVE-2021-1435 修補(bǔ)的系統(tǒng)上。

漏洞情報(bào)公司 VulnCheck 在零日漏洞的存在曝光后不久進(jìn)行了互聯(lián)網(wǎng)掃描，發(fā)現(xiàn)了 10,000 個(gè)受到感染的交換機(jī)和路由器，但指出隨著掃描的持續(xù)進(jìn)行，這個(gè)數(shù)字可能還會(huì)增加。  

雖然 VulnCheck 尚未提供更新，但互聯(lián)網(wǎng)搜索引擎 Censys 在 10 月 17 日進(jìn)行的掃描顯示，有 67,000 個(gè)暴露于互聯(lián)網(wǎng)的 IOS XE Web 界面，其中包括超過(guò) 34,000 個(gè)似乎被后門(mén)的主機(jī)。Censys 第二天進(jìn)行的另一次掃描顯示，被黑客攻擊的系統(tǒng)數(shù)量增加到近 42,000 個(gè)。

大多數(shù)受感染的思科設(shè)備似乎位于美國(guó)，其次是菲律賓和拉丁美洲。印度、泰國(guó)、新加坡和澳大利亞也有大量感染病例。

圖片

LeakIX 負(fù)責(zé)掃描互聯(lián)網(wǎng)上是否存在易受攻擊的系統(tǒng)，最初報(bào)告稱(chēng)在大約 30,000 臺(tái)思科設(shè)備上發(fā)現(xiàn)了惡意植入，但其最新掃描發(fā)現(xiàn)另外10,000 個(gè)受感染的系統(tǒng)。

威脅情報(bào)公司 GreyNoise 一直在使用其蜜罐來(lái)跟蹤攻擊嘗試，截至 10 月 19 日，它已發(fā)現(xiàn)來(lái)自 230 個(gè)唯一 IP 地址的攻擊。