思科更新了其安全公告，“在发现了一种阻碍识别受感染系统的新变体后，提供了检测植入程序是否存在的增强指南”，一位发言人告诉 The Register。

　　该指南也在Cisco Talos 的博客中更新了有关该漏洞的信息，其中包括一个 curl 命令，该命令可以利用攻击者的新 HTTP 标头检查来识别植入变体。

　　正如思科在其原始更新中指出的那样， IOS XE 软件中实际上存在两个零日漏洞。入侵者首先利用 CVE-2023-20198 来获取对设备的访问权限并发出特权 15 命令，从而创建普通的本地用户帐户。

　　接下来，他们利用了 CVE-2023-20273，这是 Web UI 功能中的一个错误，允许本地用户将权限提升为 root、将植入程序写入文件系统并劫持设备。

　　据思科称，第一个修复版本 17.9.4a 解决了这两个缺陷，并且将提供早期版本的更新。

　　据曝光管理机构 Censys 称，截至周四，约有36,541 台思科设备已受到损害。这比前一天减少了 5,000 多。

　　然后，根据攻击面管理公司 Onyphe 的数据，随着周末的到来，受感染设备的数量骤降至 1,200 台，这让安全研究人员对发生的事情摸不着头脑。

　　NCC 集团旗下的安全公司 Fox-IT 表示，它有一个答案：植入程序开发人员只是更改了代码。“我们观察到，数以万计的思科设备上的植入程序已被更改，以便在响应之前检查授权 HTTP 标头值，”分析师周一表示。

　　“这解释了最近几天被广泛讨论的已识别受损系统的暴跌，”它继续说道。“使用不同的指纹识别方法，Fox-IT 识别出 37,890 台仍然受到威胁的思科设备。”

　　该公司还建议拥有暴露在互联网上的 Cisco IOS XE WebUI 的公司进行取证分类，并在 GitHub 上发布了扫描和检测工具。

　　经过六天和数千名用户的破解，思科准备修补 IOS XE 缺陷

　　思科的关键零日漏洞变得更加严重——“数千”的 IOS XE 设备遭到攻击

　　思科零日漏洞允许路由器劫持并且正在被积极利用

　　VulnCheck 首席技术官 Jacob Baines 告诉The Register，他的公司修改了扫描仪以使用 Fox-IT 方法，“我们看到的基本上与上周看到的一样：数千个植入设备。”

　　贝恩斯表示，他“惊讶”攻击者修改了植入程序，而不是放弃攻击活动。

　　“通常情况下，当攻击者被发现时，他们会安静下来，并在尘埃落定后重新访问受影响的系统，”他说。“这名攻击者正试图维持对数十家安全公司现在知道存在的植入程序的访问。对我来说，这似乎是一场他们无法获胜的游戏。”

　　贝恩斯表示，更新后的植入似乎是“短期修复”，并补充说，它要么让犯罪分子“再保留系统几天——并实现任何目标——要么只是权宜之计，直到他们可以插入更隐蔽的植入物。” ®