思科今日将为 IOS XE 零日漏洞推出补丁，相关设备启用 HTTP ／ S 后

　　10 月 23 日消息，思科此前公布了自家 IOS XE 系统中一项 CVSS 10 分满分漏洞“CVE-2023-20198”，而在 10 月 20 日又公布了另一个零日漏洞 CVE-2023-20273，思科声称，黑客利用了合并了两个漏洞进行攻击，。

　　▲ 图源思科IT之家注：IOS XE 系统是思科为旗下交换器、路由器等网络设备所开发的操作系统，该系统基于 Linux。黑客利用 CVE-2023-20198 及 CVE-2023-20273 漏洞，从而获得设备中最高等级的 Level 15 权限，等同于“可完全控制相关设备”，从而执行任意命令。

　　CVE-2023-20198 漏洞位于思科 IOS XE 系统的网页后台（Web User Interface，Web UI）中，相关设备若在后台中启用 HTTP / S 服务器功能，就可能遭到黑客入侵，CVSS 评分为 10。

　　而 CVE- 2023-20273 则是另一个位于网页后台中的漏洞，。

　　根据思科的调查，黑客所写入的恶意代码是以 Lua 撰写，仅有 29 行，以方便执行任何指令，但黑客实行攻击的关键，是向相关网络设备建立一个 HTTP POST 请求。因此思科建议客户应关闭相关网络设备中的 HTTP / S 服务器功能，并检查设备上是否已经被植入了恶意代码，或有否凭空出现了“新用户”。

　　▲ 图源思科根据IT之家早前报道，在漏洞 10 月 16 日曝光至 10 月 19 日，全球有超 1 万台设备被植入 Lua 恶意代码，安全公司 Censys 表示主要受害者位于美国、菲律宾与墨西哥。

　　而在 10 月 19 日后，安全公司发现到被感染的网络设备数量骤减，到了 22 日据称“被感染的设备”仅剩 320 台。

　　安全公司 ONYPHE 与 CERT Orange Cyberdefense 认为，动。