【大起大落】Cisco零日漏洞感染數5萬變100 黑客造數藏巨大陰謀
Cisco在 10 月中被發現旗下產品的作業系統 Cisco IOS XE 的使用者介面存在兩個零日安全漏洞,讓黑客可以遙距通過漏洞入侵 Cisco 的網絡產品,偷偷加入擁有最高權限的帳戶,感染數量更在三日內衝破五萬,雖然事件曝光後感染數神奇地暴跌回百多部,但背後原來隱藏著巨大陰謀。
嚴重評級為 10 分滿分
近日網絡安全業界最大花生事件,莫過於 Cisco 的 IOS XE 軟件連環出現兩個零日漏洞。10 月 16 日,Cisco 率先公布第一個通用威脅編號為 CVE-2023-20198 的零日漏洞,Cisco 指漏洞已被黑客發現,有黑客更已編寫了一個只有 29 行編碼的 Lua 語言惡意軟件發動攻擊,讓他們能夠在裝置上取得 Level 15 最高權限,而在全球約八萬部面向互聯網的 Cisco 網絡裝置如路由器、交換器、無線網絡控制器中,已經有約一萬部遭受入侵。網絡安全研究員 ONYPHE 在兩日後證實,受感染的裝置數字更火速飊升至五萬。
在 Cisco 積極調查下,原先懷疑黑客是使用上述零日漏洞及另一個已知漏洞入侵,但最後竟然又發現多一個同 IOS XE 有關的零日漏洞(編號 CVE-2023-20273),相信才是這次黑客所使用的雙線方法,兩者的差別在於嚴重評級分別為 10 分(滿分)及 7.2 分。有專家便指出,該惡意軟件沒有持久性,只要用家重新啟動裝置就可令軟件消失,但期間開設的新帳戶則依然會存在,需要管理員手動檢查及刪除。
兩個零日漏洞曝光後,原以為感染裝置的數量會再次上升,但 ONYPHE 就發現數字竟然離奇下跌,由 21 日的四萬部驟跌至 1200 部,並在 22 日進一步下跌至數百部。起初有專家估計是有一名灰帽黑客重新啟動受感染裝置,將惡意軟件移除才會造成數字暴跌。
誘使企業管理員掉以輕心
不過,當有傳媒報導事件後,Fox-IT 一名網絡安全專家則說出另一個完全不同的解釋,他指出受感染裝置上的惡意軟件已被黑客修改,只要對含有特定認證 HTTP header 訪問要求作出回應,換言之通過一般的網絡掃描已無法找出受感染的裝置,而數字暴跌的消息可能會讓企業管理員掉以輕心,令黑客可以繼續進行入侵活動。
從這名網絡安全專家於開源倉庫發布的掃描工具搜尋網絡,便可發現仍然有約 37,890 部裝置受到感染,建議管理員應通過他公開的方法,檢查企業是否有裝置受到感染並進行移除。姑勿論到底真相如何,Cisco 已針對兩個漏洞發出更新修補,管理員應第一時間更新系統。
