零日漏洞攻擊案例
 
 
安全內(nèi)參10月20日消息，黑客利用最近披露的滿分嚴(yán)重漏洞（CVE-2023-20198），成功侵入超過(guò)四萬(wàn)臺(tái)運(yùn)行IOS XE操作系統(tǒng)的思科設(shè)備。目前尚無(wú)可用的補(bǔ)丁或解決方法，唯一的建議是“在所有面向互聯(lián)網(wǎng)的系統(tǒng)上禁用HTTP服務(wù)器功能”以保護(hù)設(shè)備安全。運(yùn)行思科IOS XE的網(wǎng)絡(luò)設(shè)備包括企業(yè)交換機(jī)、工業(yè)路由器、接入點(diǎn)、無(wú)線控制器、聚合設(shè)備和分支路由器。

 
數(shù)萬(wàn)臺(tái)思科設(shè)備遭暴露

最初遭到侵害的思科IOS XE設(shè)備約為一萬(wàn)臺(tái)。隨著安全研究人員對(duì)互聯(lián)網(wǎng)進(jìn)行更準(zhǔn)確的掃描，這一數(shù)字開始增長(zhǎng)。周二，收錄互聯(lián)網(wǎng)上暴露服務(wù)和Web應(yīng)用的LeakIX引擎表示，他們搜索發(fā)現(xiàn)約三萬(wàn)臺(tái)被感染設(shè)備，這還沒(méi)計(jì)入那些感染后重啟的系統(tǒng)。這次搜索使用思科提供的感染指標(biāo)（IoCs），以確定CVE-2023-20198是否成功感染暴露設(shè)備。結(jié)果表明，美國(guó)、菲律賓和智利等國(guó)數(shù)千臺(tái)主機(jī)被感染。LeakIX針對(duì)在線暴露思科IOS XE設(shè)備的搜索結(jié)果
Orange公司計(jì)算機(jī)應(yīng)急響應(yīng)小組（CERT）使用相同的方法進(jìn)行驗(yàn)證。他們?cè)?0月20日表示，黑客利用CVE-2023-20198發(fā)動(dòng)攻擊，已經(jīng)向超過(guò)34500個(gè)思科 IOS XE IP地址植入了惡意代碼。該小組還發(fā)布了一個(gè)Python腳本，用于掃描運(yùn)行思科 IOS XE系統(tǒng)的網(wǎng)絡(luò)設(shè)備是否存在惡意代碼。周三（10月18日），專注于評(píng)估聯(lián)網(wǎng)設(shè)備攻擊面的Censys搜索平臺(tái)發(fā)布更新文章，表示該平臺(tái)發(fā)現(xiàn)的受感染設(shè)備數(shù)量已經(jīng)增長(zhǎng)到41983臺(tái)。
 

Censys針對(duì)公共網(wǎng)絡(luò)思科IOS XE主機(jī)的搜索結(jié)果
 
盡管很難準(zhǔn)確獲得可由公共網(wǎng)絡(luò)訪問(wèn)的思科IOS XE設(shè)備數(shù)量，但Shodan搜索顯示，此類主機(jī)數(shù)量略大于145000臺(tái)，其中大多數(shù)位于美國(guó)。下面這張截屏展示了Aves Netsec網(wǎng)絡(luò)安全公司首席執(zhí)行官 Simo Kohonen，通過(guò)Shodan搜索確定的Web用戶界面可從互聯(lián)網(wǎng)訪問(wèn)的思科設(shè)備。
 
 
針對(duì)被暴露思科IOS XE系統(tǒng)的Shodan搜索結(jié)果
 
此外，安全研究員Yutaka Sejiyama也利用Shodan引擎搜索受到CVE-2023-20198漏洞威脅的思科 IOS XE設(shè)備，發(fā)現(xiàn)有近九萬(wàn)臺(tái)主機(jī)暴露在互聯(lián)網(wǎng)上。在美國(guó)，許多此類設(shè)備屬于通信提供商，如康卡斯特、威瑞森、考克斯通信公司、邊疆通信、電話電報(bào)公司、Spirit、世紀(jì)互聯(lián)、特許通訊、Cobridge、Windstream和谷歌光纖。Sejiyama還列出了很多其他有思科IOS XE設(shè)備在互聯(lián)網(wǎng)上暴露的實(shí)體，其中不乏醫(yī)療中心、大學(xué)、警署、學(xué)區(qū)、便利店、銀行、醫(yī)院和政府。Sejiyama表示：“首先，用戶就不應(yīng)該將IOS XE登錄屏暴露在互聯(lián)網(wǎng)上。”他重申了思科的建議，不要將Web用戶界面和管理服務(wù)暴露在公共網(wǎng)絡(luò)或不受信任的網(wǎng)絡(luò)。作為研究人員，Sejiyama對(duì)這種做法表示擔(dān)憂，表示“這樣使用設(shè)備的組織可能壓根不知道存在這個(gè)漏洞或攻擊行為。”

 
設(shè)備重啟后仍存在風(fēng)險(xiǎn)

思科于周一披露了CVE-2023-20198漏洞。然而，威脅行為者在9月28日之前就已經(jīng)開始利用這一漏洞。他們?cè)诒桓腥局鳈C(jī)上創(chuàng)建了高權(quán)限帳戶，完全控制了設(shè)備。思科昨天更新了相關(guān)警告，公布了新攻擊者IP地址和用戶名，以及針對(duì)Snort開源網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)和入侵防護(hù)系統(tǒng)的新規(guī)則。研究人員指出，這些攻擊的幕后威脅行為者植入了惡意代碼，這些代碼不具備持久性，重啟設(shè)備即可清除。但是，惡意代碼創(chuàng)建的新帳戶將仍然可用。這些賬戶“具有15級(jí)權(quán)限，這意味著它們擁有對(duì)設(shè)備的完整管理員訪問(wèn)權(quán)限。”據(jù)思科分析，威脅行為者會(huì)收集有關(guān)設(shè)備的詳細(xì)信息，并進(jìn)行初步偵察。攻擊者還會(huì)清除日志、刪除用戶，這或許是為了掩蓋他們的活動(dòng)。研究人員認(rèn)為，這些攻擊背后只有一個(gè)威脅行為者，但無(wú)法確定初始傳遞機(jī)制。