思科 IOS XE 權限提升漏洞
最後更新
2023年10月24日
發佈日期:
2023年10月17日
1502
觀看次數
風險: 極高度風險
類型: 操作系統 - Network
於 思科 IOS XE 發現一個漏洞。遠端攻擊者可利用這個漏洞,於目標系統觸發權限提升。
注意﹕
CVE-2023-20198 及 CVE-2023-20273 漏洞正被廣泛利用。
思科發現當 Cisco IOS XE 軟體的 Web UI 功能暴露在互聯網或不受信任的網路中時,Web UI 中的一個先前未知的漏洞(CVE-2023-20198)會被主動利用。
Web UI 和管理服務不應暴露在互聯網或不受信任的網路中。
[更新於 2023-10-17]
暫無可修補 CVE-2023-20198 的修補程式。
[更新於 2023-10-24]
第一個更新軟件版本已經發布。請參閱解決方案以了解更多詳細資訊。
CVE-2023-20273 漏洞正被廣泛利用。
攻擊者首先利用 CVE-2023-20198 取得初始存取權限,並發出privilege 15 指令來建立本機使用者和密碼。這允許用戶以普通用戶存取權限登入。
然後,攻擊者利用 Web UI 功能的另一個元件,提升新的本機使用者至 root 權限並植入程式寫入檔案系統中。Cisco 已為此問題指派為 CVE-2023-20273。
影響
- 權限提升
受影響之系統或技術
- 思科 IOS XE
解決方案
請瀏覽供應商之網站,以獲得更多詳細資料。
思科強烈建議客戶在所有面向互聯網的系統上停用 HTTP 伺服器功能。若要停用 HTTP 伺服器功能,請在全域設定模式下使用 no ip http server 或 no ip http secure-server 指令。如果同時使用 HTTP 伺服器和 HTTPS 伺服器,則需要同時使用這兩個指令來停用 HTTP 伺服器功能。
漏洞識別碼
資料來源
相關連結
分享至