思科網路設備漏洞波及國內，中獎後屏幕竟會出現美國國旗

上周，俄羅斯和伊朗多個網路基礎設施遭到攻擊，攻擊涉及全球200000隻路由器交換機，包括伊朗的3500隻交換機。攻擊者疑似利用了思科IOS/IOS XE遠程代碼執行漏洞cve-2018-0171。而就在今天，國內多個機構遭受同樣的攻擊。根據國外的案例，遭受攻擊的企業，除了設備癱瘓之外，屏幕上還顯示出美國國旗。

FreeBuf曾報告過這個漏洞的詳細分析，是Embedi 安全公司研究員在 Smart Install Client 代碼中發現一個緩衝區堆棧溢出漏洞。攻擊者利用這個漏洞可以不經身份驗證遠程執行任意代碼。也就是說，攻擊者能夠完全控制受漏洞影響的網路設備。

在思科發布漏洞預警之時，全球受影響的設備高達850萬，當然也包括國內。

根據俄羅斯和伊朗所遭受攻擊的情況了來看， 黑客攻擊導致設備癱瘓之後，還留下了字條稱：「不要干涉我們的選舉」，同時還附上美國國旗。

根據外媒Motherboard報道， 黑客通過控制的電子郵件闡述了此次攻擊的目的：我們厭倦了有政府支持的針對美國或者其他國家的網路攻擊。甚至還略帶自豪的表示：「多虧我們的努力，很多國家已經沒有易受攻擊的設備了」。

專家推測，這次大範圍的網路攻擊應該是由民間發起，以此來表示對俄羅斯干涉美國大選的不滿。

就在今天，多個用戶在社交媒體上表示自己公司紛紛中招。藉此提醒國內其他廠商和機構儘快打好補丁，降低風險。

受漏洞影響的軟硬體

經驗證存在漏洞的設備包括：Catalyst 4500Supervisor Engines、Cisco Catalyst 3850 SeriesSwitches 和 CiscoCatalyst 2960 Series Switches。

Cisco Catalyst 4500 SupervisorEngine 6L-E

Cisco IOS 15.2.2E6 (Latest,Suggested)

cat4500e-entservicesk9-mz.152-2.E6.bin(23-DEC-2016)

Cisco Catalyst 2960-48TT-L Switch

Cisco IOS 12.2(55)SE11 (Suggested)

c2960-lanbasek9-mz.122-55.SE11.bin(18-AUG-2016)

Cisco IOS 15.0.2-SE10a (Latest)

c2960-lanbasek9-mz.150-2.SE10a.bin(10-NOV-2016)

Cisco Catalyst 3850-24P-E Switch

Cisco IOS-XE 03.03.05.SE

cat3k_caa-universalk9.SPA.03.03.05.SE.150-1.EZ5.bin(03-NOV-2014)

此外，所有具備 Smart Install Client 的設備都可能受到漏洞影響，包括下列：

Catalyst 4500 Supervisor Engines

Catalyst 3850 Series

Catalyst 3750 Series

Catalyst 3650 Series

Catalyst 3560 Series

Catalyst 2960 Series

Catalyst 2975 Series

IE 2000

IE 3000

IE 3010

IE 4000

IE 4010

IE 5000

SM-ES2 SKUs

SM-ES3 SKUs

NME-16ES-1G-P

SM-X-ES3 SKUs

關於該漏洞的更多信息，可查看FreeBuf之前的內容：

思科Smart Install的遠程代碼執行漏洞（CVE-2018-0171）詳細分析

http://www.freebuf.com/articles/network/166757.html

隨著全球範圍內不斷出現該漏洞的攻擊事件，多數企業已經意識到風險， 提前解決了隱患， 受影響的思科設備也大幅減小。

*本文作者：Andy，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！