跳至主內容

思科 IOS XE 權限提升漏洞

最後更新 2023年10月24日 發佈日期: 2023年10月17日 1546 觀看次數

風險: 極高度風險

類型: 操作系統 - Network

類型: Network

於 思科 IOS XE 發現一個漏洞。遠端攻擊者可利用這個漏洞,於目標系統觸發權限提升。

 

注意
CVE-2023-20198 及 CVE-2023-20273 漏洞正被廣泛利用。

思科發現當 Cisco IOS XE 軟體的 Web UI 功能暴露在互聯網或不受信任的網路中時,Web UI 中的一個先前未知的漏洞(CVE-2023-20198)會被主動利用。

Web UI 和管理服務不應暴露在互聯網或不受信任的網路中。

 

[更新於 2023-10-17]

暫無可修補 CVE-2023-20198 的修補程式。

 

[更新於 2023-10-24]

第一個更新軟件版本已經發布。請參閱解決方案以了解更多詳細資訊。

 

CVE-2023-20273 漏洞正被廣泛利用。

攻擊者首先利用 CVE-2023-20198 取得初始存取權限,並發出privilege 15 指令來建立本機使用者和密碼。這允許用戶以普通用戶存取權限登入。

然後,攻擊者利用 Web UI 功能的另一個元件,提升新的本機使用者至 root 權限並植入程式寫入檔案系統中。Cisco 已為此問題指派為 CVE-2023-20273。


影響

  • 權限提升

受影響之系統或技術

  • 思科 IOS XE

解決方案

請瀏覽供應商之網站,以獲得更多詳細資料。

思科強烈建議客戶在所有面向互聯網的系統上停用 HTTP 伺服器功能。若要停用 HTTP 伺服器功能,請在全域設定模式下使用 no ip http serverno ip http secure-server 指令。如果同時使用 HTTP 伺服器和 HTTPS 伺服器,則需要同時使用這兩個指令來停用 HTTP 伺服器功能。


漏洞識別碼


資料來源


相關連結