近日,思科IOS XE操作系统中的高危权限提升漏洞CVE-2023-20198再次敲响网络安全警钟。该漏洞允许未经身份验证的远程攻击者通过Web UI功能创建最高权限账户,进而完全控制受影响的网络设备,其CVSS评分高达10分,被列为“严重”级别漏洞,目前已在野被积极利用,全球范围内已有多起成功入侵案例,引发行业高度关注。
CVE-2023-20198漏洞存在于Cisco IOS XE的Web UI模块中。Web UI作为基于GUI的系统管理工具,默认启用且无需额外许可,攻击者只需向暴露在互联网或不可信网络中的设备发送恶意HTTP请求,即可触发内存溢出漏洞,绕过权限验证机制,创建权限级别为15的账户。权限级别15在Cisco IOS系统中意味着完全访问所有命令,包括系统重启、配置修改等关键操作,攻击者可借此植入后门、窃取敏感数据,甚至将设备纳入僵尸网络。
攻击特征:针对性、持久性与隐蔽性并存
澳大利亚信号局(ASD)警告,BADCANDY威胁组织持续利用该漏洞发起攻击。该组织优先瞄准政府机构、能源、交通、金融等关键基础设施,以及大型企业核心网络设备,通过植入后门实现长期驻留,窃取网络拓扑、流量数据等敏感信息。攻击手法隐蔽,会禁用设备日志、清除攻击痕迹,降低被发现概率。ASD监测显示,澳大利亚境内至少20起成功入侵案例,攻击范围已扩展至亚太、欧美地区。
行业影响:设备覆盖范围广,攻击后果严重
Cisco IOS XE是全球企业级网络设备的主流操作系统,广泛应用于边界路由器、核心交换机、无线控制器等关键设备。全球约30%的Cisco IOS XE设备未安装补丁,其中澳大利亚关键基础设施漏洞设备占比达25%。攻击后果不仅限于数据泄露,还可导致业务中断、合规处罚及品牌声誉受损。例如,2024年初,澳大利亚某州电力公司因设备被入侵导致电网监控系统中断4小时,影响超10万用户。
防御建议:紧急止损与长期加固并重
思科官方尚未发布全面补丁,但提供了临时缓解措施:强烈建议客户在所有面向互联网的系统上禁用HTTP/HTTPS服务器功能,通过命令no ip http server或no ip http secure-server实现。若业务需要,可将功能部署于受信任网络,并使用访问控制列表限制访问。长期来看,需定期更新系统补丁,加强系统和网络访问控制,启用多因素认证机制和最小权限原则,并使用企业级安全产品提升防护能力。
此次漏洞再次证明,关键基础设施的网络安全防护需从被动防御转向主动治理,行业需共同推动更智能、更全面的安全体系建设。