思科網路設備漏洞波及國內,中獎後屏幕竟會出現美國國旗
上周,俄羅斯和伊朗多個網路基礎設施遭到攻擊,攻擊涉及全球200000隻路由器交換機,包括伊朗的3500隻交換機。攻擊者疑似利用了思科IOS/IOS XE遠程代碼執行漏洞cve-2018-0171。而就在今天,國內多個機構遭受同樣的攻擊。根據國外的案例,遭受攻擊的企業,除了設備癱瘓之外,屏幕上還顯示出美國國旗。
FreeBuf曾報告過這個漏洞的詳細分析,是Embedi 安全公司研究員在 Smart Install Client 代碼中發現一個緩衝區堆棧溢出漏洞。攻擊者利用這個漏洞可以不經身份驗證遠程執行任意代碼。也就是說,攻擊者能夠完全控制受漏洞影響的網路設備。
在思科發布漏洞預警之時,全球受影響的設備高達850萬,當然也包括國內。
根據俄羅斯和伊朗所遭受攻擊的情況了來看, 黑客攻擊導致設備癱瘓之後,還留下了字條稱:「不要干涉我們的選舉」,同時還附上美國國旗。
根據外媒Motherboard報道, 黑客通過控制的電子郵件闡述了此次攻擊的目的:我們厭倦了有政府支持的針對美國或者其他國家的網路攻擊。甚至還略帶自豪的表示:「多虧我們的努力,很多國家已經沒有易受攻擊的設備了」。
專家推測,這次大範圍的網路攻擊應該是由民間發起,以此來表示對俄羅斯干涉美國大選的不滿。
就在今天,多個用戶在社交媒體上表示自己公司紛紛中招。藉此提醒國內其他廠商和機構儘快打好補丁,降低風險。
受漏洞影響的軟硬體
經驗證存在漏洞的設備包括:Catalyst 4500Supervisor Engines、Cisco Catalyst 3850 SeriesSwitches 和 CiscoCatalyst 2960 Series Switches。
Cisco Catalyst 4500 SupervisorEngine 6L-E
Cisco IOS 15.2.2E6 (Latest,Suggested)
cat4500e-entservicesk9-mz.152-2.E6.bin(23-DEC-2016)
Cisco Catalyst 2960-48TT-L Switch
Cisco IOS 12.2(55)SE11 (Suggested)
c2960-lanbasek9-mz.122-55.SE11.bin(18-AUG-2016)
Cisco IOS 15.0.2-SE10a (Latest)
c2960-lanbasek9-mz.150-2.SE10a.bin(10-NOV-2016)
Cisco Catalyst 3850-24P-E Switch
Cisco IOS-XE 03.03.05.SE
cat3k_caa-universalk9.SPA.03.03.05.SE.150-1.EZ5.bin(03-NOV-2014)
此外,所有具備 Smart Install Client 的設備都可能受到漏洞影響,包括下列:
Catalyst 4500 Supervisor Engines
Catalyst 3850 Series
Catalyst 3750 Series
Catalyst 3650 Series
Catalyst 3560 Series
Catalyst 2960 Series
Catalyst 2975 Series
IE 2000
IE 3000
IE 3010
IE 4000
IE 4010
IE 5000
SM-ES2 SKUs
SM-ES3 SKUs
NME-16ES-1G-P
SM-X-ES3 SKUs
關於該漏洞的更多信息,可查看FreeBuf之前的內容:
思科Smart Install的遠程代碼執行漏洞(CVE-2018-0171)詳細分析
http://www.freebuf.com/articles/network/166757.html
隨著全球範圍內不斷出現該漏洞的攻擊事件,多數企業已經意識到風險, 提前解決了隱患, 受影響的思科設備也大幅減小。
*本文作者:Andy,轉載請註明來自FreeBuf.COM
![](https://pic.pimg.tw/zzuyanan/1488615166-1259157397.png)
![](https://pic.pimg.tw/zzuyanan/1482887990-2595557020.jpg)
※看我如何在Jive-n中發現了一個XXE漏洞 (CVE-2018-5758)
※ezXSS:一款功能強大的XSS盲測工具
TAG:FreeBuf |