近日,国内外多家媒体曝光了包括俄罗斯和伊朗在内的多个Cisco设备被黑客入侵,被攻击的Cisco设备配置文件 startup.config 会被覆盖为“Don't mess with our elections.... -JHTusafreedom_jht@tutanota.com”,并可导致Cisco设备重启断网。如下图:
很多安全研究组织及媒体猜测这次黑客事件与思科在2018年03月28日发布安全漏洞公告修复编号为 CVE-2018-0171 相关( https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2 ) 。该漏洞是由于Cisco IOSSmart Install Client 在 TCP(4786) 端口与 Smart Install Director 进行通信时存在缓冲区溢出导致任意代码执行。
据了解,针对该漏洞知道创宇404实验室漏洞应急团队在2018/03/29就进行了漏洞应急并发出漏洞简报预警,同时利用了网络空间搜索引擎ZoomEye针对端口 TCP(4786) 及协议进行了全球探测扫描,并通过蜜罐等手段持续关注。根据知道创宇404实验室漏洞应急团队持续关注跟进结果显示,此次“俄罗斯和伊朗在内的多个 Cisco 设备配置文件被恶意篡改”事件目前没有找到与漏洞 CVE-2018-0171 相关的证据,暂时不排除该漏洞被利用可能。
另外404实验室还注意到此次攻击可能与俄罗斯安全研究员在2016年在黑客大会 zeronights 上发布的研究成果有关:https://2016.zeronights.ru/wp-content/uploads/2016/12/CiscoSmartInstall.v3.pdf。该议题详细介绍了通过 Cisco Smart Install Protocol 入侵 Cisco 设备并发布了相关攻击程序,该程序完全可以实现Cisco 设备的配置文件被篡改导致重启断网、甚至完全控制该设备,跟“俄罗斯和伊朗在内的多个 Cisco 设备配置文件被恶意篡改”事件效果一致。
值得注意的是思科在于2017年2月14日思科官方发布的安全建议预警相关 《Cisco Smart Install Protocol Misuse》(https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170214-smi )公告中并没有直接修复这个问题,而只是建议关闭或者限制相关端口通讯。
从知道创宇404实验室提供的网络空间搜索引擎 ZoomEye 针对该协议的探测结果显示,截止至4月9日全球仍然有144581的思科设备开放了 Cisco Smart Install 端口,其中美国暴露的设备数量位居榜首,占据28.26%,中国占据10.59%,日本占据6.28%。如下图:
知道创宇404实验室也再次发布高危漏洞预警,提醒相关网管人员警惕Cisco Smart Install漏洞并禁用相关端口,详细方案可联系知道创宇404实验室发布的相关报告。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。