一、漏洞详情
Web UI是一种基于GUI的嵌入式系统管理工具,能够提供系统配置、简化系统部署和可管理性以及增强用户体验。
近日,监测到Cisco IOS XE软件 Web UI权限提升漏洞(CVE-2023-20198)存在在野利用。当Cisco IOS XE软件的web UI暴露于互联网或不受信任的网络时,未经身份验证的远程攻击者可以利用该漏洞在受影响的系统上创建具有最高等级的Level 15访问权限的帐户。攻击者可以利用该帐户来控制受影响的系统。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
启用了Web UI功能的Cisco IOS XE
三、修复建议
目前官方暂未发布安全更新,受影响用户可以禁用HTTP/HTTPS服务器功能,如果业务需要可以将这些功能部署于受信任网络。