思科用户的一周开始得很糟糕，因为有人警告称，这家网络巨头的 IOS XE 软件中存在一个严重的零日漏洞，允许劫持设备，该漏洞已被利用。

　　该漏洞CVE-2023-20198获得了该网络巨头的(不)完美 10 CVSS 严重性评级，并且思科尚未发布补丁。

　　思科意识到，当暴露在互联网或不受信任的网络上时，Cisco IOS XE 软件的 Web UI 功能中的一个先前未知的漏洞会被主动利用。”

　　思科补充说：“此漏洞允许未经身份验证的远程攻击者在受影响的系统上创建具有 15 级访问权限的帐户。” “然后攻击者可以使用该帐户来控制受影响的系统。”

　　思科表示，该缺陷会影响运行其 IOS XE 软件且启用了 HTTP 或 HTTPS 服务器功能的物理和虚拟设备。

　　由于没有补丁或解决方法，思科“强烈建议”客户在所有面向互联网的系统上禁用此功能。

　　思科的建议：“要禁用 HTTP 服务器功能，请在全局配置模式下使用no ip http server或no ip http secure-server命令。” “如果同时使用 HTTP 服务器和 HTTPS 服务器，则需要这两个命令才能禁用 HTTP 服务器功能。”

　　该发言人说我们正在不间断地提供软件修复，并强烈敦促客户按照安全公告中的规定立即采取行动。 ” “思科将通过安全公告提供有关我们调查状态的最新信息。”

　　在 Talos 团队的另一篇博客中，思科的威胁情报和事件响应团队提供了有关如何检测恶意活动以及入侵者用于持久访问的植入代码的更多详细信息。

　　但除了新用户帐户之外，思科技术支持中心 (TAC) 没有发现任何其他潜在的可疑活动。

　　随后，10 月 12 日，Talos 和 TAC 发现了类似的入侵：未经授权的用户从另一个可疑 IP 地址创建了名为“cisco_support”的本地用户帐户。

　　虽然植入程序不是持久性的，但新创建的具有 15 级权限(也称为完全路由器控制)的用户帐户即使在系统重新启动后仍保持活动状态。

　　思科的威胁情报团队写道：“我们还看到针对 CVE-2021-1435 进行了全面修补的设备通过尚未确定的机制成功安装了植入程序。”

　　塔洛斯怀疑 9 月和 10 月的事件都是同一入侵者所为。

　　“第一个集群可能是攻击者的最初尝试并测试他们的代码，而 10 月份的活动似乎表明攻击者正在扩展他们的操作，包括通过部署植入程序建立持久访问，”该团队报告道。