漏洞名称:
Cisco IOS XE Web UI 权限提升漏洞 CVE-2023-20198
漏洞描述:
2023 年 10 月 20 日,监测到一则 Cisco IOS X 的
Web UI 组件存在权限提升漏洞的信息,当暴露于互联网或不受信任的网络时,
Cisco IOS XE 软件的 Web UI 功能中的一个先前未知的漏洞会被主动利用。
该漏洞允许未经身份验证的远程攻击者在受影响的系统上创建具有 15 级
访问权限的帐户。然后,攻击者可以使用该帐户来控制受影响的系统
。
漏洞编号:CVE-2023-20198,漏洞威胁等级:
严重
。
组件介绍:
Cisco IOS XE 是思科(Cisco)公司的一个操作系统,用于驱动其网络设备
和路由器。它是一个在 Cisco 设备上运行的网络操作系统,旨在提供高性能、可
扩展性和安全性,以满足不同规模和类型的网络需求。
影响范围:
启用了 Web UI 功能的 Cisco IOS XE
利用条件:
1、用户认证:不需要用户认证
2、前置条件:启用 HTTP Server 或者 HTTPS Server
3、触发方式:远程
<综合评定利用难度>:容易,可创建高权限账户。
<综合评定威胁等级>:严重,能控制目标系统。
6
官方修复建议
:
目前官方暂未发布安全更新,受影响用户可以禁用 HTTP/HTTPS 服务器功
能,如果业务需要可以将这些功能部署于受信任网络。如果启用 HTTP Server
或者 HTTPS Server 可以使用以下命令进行关闭:
no ip http server/no ip http secure-server