据多家网络安全公司称，利用未修补的 IOS XE 漏洞遭到黑客攻击的思科设备数量已达到约 40,000 台。 

所利用的漏洞是 CVE-2023-20198，这是一个影响 IOS XE Web 界面的严重缺陷，未经身份验证的远程攻击者可以利用该漏洞进行权限升级。 

思科尚未发布补丁，该公司警告称，该漏洞至少从 9 月中旬起就已被作为零日漏洞利用。

CVE-2023-20198 允许威胁行为者在目标设备上创建高权限帐户并完全控制系统。在某些情况下，攻击者被发现提供了一个植入程序，使他们能够执行任意命令。 

思科表示，在某些情况下，植入程序是通过跟踪为 CVE-2021-1435 的较旧缺陷提供的，但以前未知的漏洞也可能被利用，因为该植入程序也被发现在针对 CVE-2021-1435 修补的系统上。

漏洞情报公司 VulnCheck 在零日漏洞的存在曝光后不久进行了互联网扫描，发现了 10,000 个受到感染的交换机和路由器，但指出随着扫描的持续进行，这个数字可能还会增加。  

虽然 VulnCheck 尚未提供更新，但互联网搜索引擎 Censys 在 10 月 17 日进行的扫描显示，有 67,000 个暴露于互联网的 IOS XE Web 界面，其中包括超过 34,000 个似乎被后门的主机。Censys 第二天进行的另一次扫描显示，被黑客攻击的系统数量增加到近 42,000 个。

大多数受感染的思科设备似乎位于美国，其次是菲律宾和拉丁美洲。印度、泰国、新加坡和澳大利亚也有大量感染病例。

图片

LeakIX 负责扫描互联网上是否存在易受攻击的系统，最初报告称在大约 30,000 台思科设备上发现了恶意植入，但其最新扫描发现另外10,000 个受感染的系统。

威胁情报公司 GreyNoise 一直在使用其蜜罐来跟踪攻击尝试，截至 10 月 19 日，它已发现来自 230 个唯一 IP 地址的攻击。