思科昨日公布了一个已遭黑客利用的零日漏洞 CVE-2023-20198，该漏洞位于 Cisco IOS XE 系统的网页后台（Web User Interface，Web UI）中，相关设备若在后台中启用 HTTP 或 HTTPS 服务器功能，就可能遭到黑客入侵。

据悉，IOS XE 是思科为交换机、路由器等网络设备设计的系统，该系统基于 Linux。而这一 CVE-2023-20198 漏洞，将允许黑客获得设备中最高等级的 Level 15 权限，等同于“可完全控制相关设备”，从而执行任意命令。

思科表示，该公司的技术协助中心（Technical Assistance Center）在 9 月 28 日发现这一漏洞，而早在 9 月 18 日就有黑客利用这一漏洞进行攻击。

IT之家从 CVSS 注意到，CVE-2023-20198 漏洞风险评分为 10 分，该漏洞允许黑客访问暴露在公开网络的设备，黑客可在设备中建立新账号，从而取得完整的管理权限，进而全盘控制相关网络设备。

目前思科尚未修补此一安全漏洞，思科强烈建议客户应在所有接入公开网络的设备上，关闭 HTTP Server 功能。

参考

• CVE-2023-20198 Detail — CVSS

本文转载自IT之家。本站转载此文目的在于传递更多信息，并不代表赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题，请在30日内与本网联系，我们将在第一时间删除内容，本网站对此声明具有最终解释权。