▲ 图源思科

注：IOS XE 体系是思科为旗下交流器、路由器等网络装备所开发的操作体系，该体系基于Linux。黑客运用CVE-2023-20198及 CVE-2023-20273 破绽，从而获得装备中最高级级的Level 15权限，等同于“可完整把持相干装备”，从而履行任意命令。

CVE-2023-20198 破绽位于思科 IOS XE体系的网页后台（Web User Interface，Web UI）中，相干装备若在后台中启用HTTP / S 服务器功效，就可能遭到黑客入侵，CVSS评分为10。

而 CVE- 2023-20273 则是另一个位于网页后台中的破绽，让黑客得到最高权限后，能够将恶意代码写入进体系中，从而有效地把持全部体系，CVSS 评分为 7.2。

依据思科的调查，黑客所写入的恶意代码是以 Lua 撰写，仅有 29 行，以便利履行任何指令，但黑客履行攻击的要害，是向相干网络装备树立一个 HTTP POST 恳求。因此思科建议客户应关闭相干网络装备中的 HTTP / S 服务器功效，并检查装备上是否已经被植入了恶意代码，或有否凭空呈现了“新用户”。

▲ 图源思科

依据 早前报道，在破绽 10 月 16 日曝光至 10 月 19 日，全球有超 1 万台装备被植入 Lua 恶意代码，安全公司Censys 表现重要受害者位于美国、菲律宾与墨西哥。

而在 10 月 19 日后，安全公司发现到被沾染的网络装备数量骤减，到了 22 日据称“被沾染的装备”仅剩 320 台。

安全公司ONYPHE 与 CERT Orange Cyberdefense 觉得，这不太像是运维们充足施展了积极性，更像是黑客撤离了受沾染的网络装备，从而蓄势待发筹备下一波的攻击举动。