更新時間:2023/10/19 16:34:11
發佈時間:2023/10/19 12:21:22
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
10/19 補充IoC於內容說明與IoC資料欄位,以及增修建議措施二、三。
一、漏洞說明[1]
Cisco近期公告其IOS XE作業系統的網頁使用者介面存在高風險漏洞,當使用此作業系統的設備有開啟此項功能,且使用者介面暴露於公開或不安全網路的情況下,攻擊者成功利用漏洞後即可於受影響的設備上建立最高權限帳戶,以進行後續相關攻擊活動。
二、已揭露攻擊活動說明
官方於漏洞公告與情資威脅報告[2]中表示已觀察此漏洞被利用於攻擊受影響之設備,並提供入侵來源IP共2筆,分別為 5.149.249[.]74及154.53.56[.]231。目前僅提供緩解措施尚無修補程式。
▶ 參考資訊
⌵
| 網址 | 說明 |
|---|---|
| https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z | 1.Cisco |
| https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/ | 2.Cisco Talos |
▶ 影響平台
⌵
影響平台-系統:
使用Cisco IOS XE 作業系統且開啟網頁使用者介面的設備。
▶ 建議措施
⌵
一、官方已於漏洞公告中提供檢測方式,可於CLI使用 “show running-config | include ip http server|secure|active”指令檢視功能是否開啟。此外官方亦提及若上述功能開啟,但Config包含
ip http active-session-modules none 或ip http secure-active-session-modules none,該設備也不會受此漏洞影響。
二、官方建議系統尚未修補前可於CLI使用 “no ip http server” 或 “no ip http secure-server”指令關閉網頁使用者介面功能,如仍須使用建議限制存取來源IP以確保安全性。建議除非必要,企業內部網路亦一併進行檢視及關閉相關服務。
三、官方於威脅報告內提供已知入侵來源IP,建議會員可透過單位內設備觀察是否曾有這些(可疑)IP之連線紀錄,進行分析及風險評估(建議確認連線請求者是否為正常或合法的連線),並依照既有防護設備採取對應防護措施。
▶ 漏洞資訊
⌵
名稱:
CVSS向量: CVE-2023-20198
描述:
使用版本:CVSS 3.1
分析分數:10
參考來源: Cisco
▶ IoC資料欄位
⌵
| 類別 | 內容 |
|---|---|
| IPv4 | 5.149.249.74 |
| IPv4 | 154.53.56.231 |
情資編號:
FISAC-200-202310-0001
系統目錄:
資安漏洞
資安類別:
漏洞公告 /
影響等級:
3
關鍵字:
弱點漏洞