6月28日晚上,发现Nas在18点28分时有不正常重启记录,但检查Nas的/var/log/message、/var/log/cron 等文件,又没有什么异常。看进程、网络也没有什么异常,不过心里还是忐忑不安,毕竟现在网络安全漏洞太多,稍有不甚,就可能被攻击了。
7月2日,登录思科交换机发现,截至6月28日18点31分起,以前日志全部被清理,难道是思科交换机有安全漏洞,导致Nas受牵连了?上网搜索思科交换机 安全漏洞 CVE-2023,果不其然,今年四月份,思科多款 Small Business 系列交换机中存在四个严重的远程代码执行漏洞,且利用代码已遭公开。
这四个漏洞的 CVSS 评分为9.8分,如遭成功利用可导致未认证的攻击者以根权限在受攻陷设备上执行任意代码。这些漏洞的CVE漏洞编号是CVE-2023-20159、CVE-2023-20160、CVE-2023-20161和CVE-2023-20189,均由对目标交换机 web 接口发送的请求验证不当引发。
攻击者可在复杂度低下的攻击中,利用目标设备 web 用户接口发送特殊构造的请求,利用这些漏洞。思科解释称,“这些漏洞之间不存在相互依赖关系。利用其中一个漏洞时无需利用其它漏洞。另外,受其中一个漏洞影响的软件发布可能不会受其它漏洞的影响。”
受影响的思科交换机包括:
250 Series Smart Switches、350 Series Managed Switches、350X Series Stackable Managed Switches和550X Series Stackable Managed Switches (已在固件版本2.5.9.16中修复)
Business 250 Series Smart Switches 和 Business 350 Series Managed Switches(已在固件版本3.3.0.16中修复)
Small Business 200 Series Smart Switches、Small Business 300 Series Managed Switches、Small Business 500 Series Stackable Managed Switches(无补丁)
思科表示,200、300以及500系列的 Small Business 交换机固件将不会得到补丁,因为这些设备已经进入生命周期末期。
思科产品安全事件响应团队 (PSIRT) 还披露称,这些漏洞的 PoC 代码已存在,可导致攻击者活跃利用。本周三,思科提醒称,PSIRT发现这些漏洞的“PoC 利用代码已存在”,可导致攻击者攻击暴露到远程访问的易受攻击设备。不过,幸运的是,思科尚未发现漏洞遭利用的迹象。
思科还在着手修复位于 Prime Collaboration Deployment (PCD) 服务器管理工具中的一个 XSS 漏洞。该漏洞由北约网络安全中心研究员 Pierre Vivegnis 发现。
美国、英国和思科公司最近联合发布安全公告提醒称,俄罗斯军队黑客组织 APT28 已在思科 IOS 路由器上部署自定义 “Jaguar Tooth(美洲虎牙齿)”,获得对受陷设备的未认证访问权限。
思科交换机新固件版本在今年四月中旬就已经发布了,可惜我没有看到。按正常情况,交换机会完整保存网络连接情况,以及设备操作记录,但在这两个很近时间段,日志被无故清除,思科交换机大概率被入侵过。另外检查路由器情况,发现路由器防火墙近期有6个恶意连接拦截。
情况不妙呀!!!
新版固件下载后,三下五除二,更新升级完思科交换机。但是又觉得不可靠,为了安全起见,将思科交换机重置,来一次彻底更新升级固件,登录密码重新设置一遍,希望没有隐藏的后门在里面。
本文链接: https://azurelake.cn/posts/7527f9b9dd8d/
版权声明: 转载请注明出处(必须保留作者署名及链接)