思科官方及360公司認為近期針對思科設備的攻擊並非來自漏洞利用

「用指尖改變世界」

在上周五，一個自稱「 JHT」的新黑客組織劫持了分屬俄羅斯和伊朗兩國的大量思科設備，兩國的互聯網服務提供商（ISP）、數據中心以及某些網站成為了最終受害者。

除了造成設備癱瘓以外，黑客還在設備屏幕上留下了一條消息：「不要干涉我們的選舉（Do not mess with our elections）」，並帶有一個由字元串組成的美國國旗圖案。

伊朗通信和信息技術部長MJ Azari Jahromi 在上周五通過推特表示，這場攻擊活動影響到伊朗約3500台網路設備，儘管其中大部分已經恢復。而根據路透社的報道，在全球範圍內有超過20萬台路由器和交換機遭到攻擊，主要受影響的是歐洲、印度和美國。

幾乎所有的安全研究人員和媒體都將矛頭指向了存在於思科智能安裝客戶端（Cisco Smart Install Client）軟體中的安全漏洞CVE-2018-0171，這是一個由來自俄羅斯安全公司Embedi的安全研究員 George Nosenko在2017年5月發現的緩衝區堆棧溢出漏洞。

這個漏洞允許攻擊者能夠在未經身份驗證的情況下向遠端思科設備的 TCP 4786 埠發送自定義的惡意數據包，以此來發起拒絕服務（DoS）攻擊或執行任意代碼。這意味著攻擊者可以通過利用這個漏洞來獲得對受影響設備的完全控制許可權。

但思科認為，黑客在攻擊中只是覆蓋了目標設備的配置文件 startup-config 並進行了重啟操作，這使得原配置丟失而導致設備無法正常使用。

思科曾在去年發布的安全諮詢中指出：「思科智能安裝協議可能會遭到濫用，但這並不是說思科IOS和IOS-XE系統或智能安裝功能本身存在漏洞。攻擊者可能會濫用這個協議來修改TFTP伺服器設置，通過TFTP竊取配置文件、修改配置文件、替換IOS鏡像以及並設置帳戶，從而允許執行IOS命令。」

國內安全公司奇虎360的網路安全研究院（360Netlab）也證實了思科的說法，他們通過推特表示，JHT組織發起的黑客活動並不涉及最近披露的遠程代碼執行漏洞。相反，這起攻擊是由於去年3月份報告的思科智能安裝協議中缺少任何身份驗證引起的。

由於思科智能安裝客戶端設計為允許在思科交換機上進行遠程管理，因此大多數系統管理員可能都會選擇啟用它。但我們建議，各位系統管理員在啟用這項供能時，應使用介面訪問控制列表（ACL）來限制對它的訪問。而對於完全不使用這項功能的管理員來說，應該使用配置命令「no vstack」來完全禁用它。

另外，根據安全研究人員在上周日通過使用互聯網掃描引擎Shodan的掃描結果來看，有超過16.5台運行思科智能安裝客戶端且敞開TCP 4786 埠的思科設備仍暴露在互聯網上，主要分布在英國、俄羅斯和中國。

儘管最近的攻擊似乎的確與CVE-2018-0171漏洞無關，但我們仍強烈建議各位系統管理員應及時安裝修補程序來解決潛在的威脅。因為不僅這個漏洞已經被公開披露，而且有關於它技術細節和概念驗證（PoC）也已經能夠在網上找到，這使得黑客可以很容易地利用它來發起下一輪的攻擊。

本文由黑客視界綜合網路整理，圖片源自網路；轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！