思科要求客户立即禁用所有面向互联网的 IOS XE 设备上的 HTTPS 服务器功能，以防止攻击者主动利用操作系统 Web 用户界面中的严重零日漏洞。

Cisco IOS XE 是思科用于其下一代企业网络设备的操作系统。

该缺陷编号为 CVE-2023-20198，影响所有启用了 Web UI 功能的 Cisco IOS XE 设备。目前还没有针对该缺陷的补丁或其他解决方法，思科将其描述为可实现完全设备接管的权限升级问题。思科已根据 CVSS 等级为该漏洞指定最高可能的严重性评级为 10 级（满分 10 级）。

CVE-2023-20198：最高严重性缺陷

思科在 10 月 16 日关于新的零日漏洞的公告中表示： “该漏洞允许未经身份验证的远程攻击者在受影响的系统上创建具有 15 级访问权限的帐户。” “然后攻击者可以使用该帐户来控制受影响的系统。” Cisco IOS 系统上的权限级别 15 基本上意味着可以完全访问所有命令，包括重新加载系统和进行配置更改的命令。

一名未知攻击者一直在利用该漏洞访问思科面向互联网的 IOS XE 设备，并植入 Lua 语言植入程序，以便在受影响的系统上执行任意命令。为了删除植入程序，威胁行为者一直在利用另一个缺陷 – CVE-2021-1435，这是 IOS XE Web UI 组件中的一个中等严重性的命令注入漏洞，思科于 2021 年修补了该漏洞。威胁行为者已经能够交付植入程序思科 Talos 研究人员在另一份报告中表示，即使在通过尚未确定的机制完全修补 CVE-2021-1435 的设备上，也能成功地进行修复。

思科表示，它在 9 月 28 日响应涉及客户设备异常行为的事件时首次获悉该新漏洞。该公司随后的调查显示，与该漏洞相关的恶意活动实际上可能早在 9 月 18 日就开始了。第一个事件以攻击者利用该缺陷从可疑 IP 地址创建具有管理员权限的本地用户帐户而告终。

文章原文链接:https://www.anquanke.com/post/id/290808