美國黑客組織劫持俄羅斯和伊朗的思科網路交換機

美國黑客組織到底有多厲害？自上周以來，一個自稱為JHT的美國黑客組織劫持了屬於俄羅斯和伊朗組織的大量思科設備，並留下一條消息：「不要惹我們的選舉」，用美國國旗。伊朗通信和信息技術部長表示，這場運動影響到伊朗約數千個網路交換機，儘管其中大部分已經恢復。

據報道，該黑客組織針對的是思科智能安裝客戶端的漏洞安裝，這是一種傳統的即插即用實用程序，旨在幫助管理員遠程配置和部署思科設備，默認情況下在CiscoIOS和IOSXE交換機上啟用，並通過TCP埠運行4786。

中國知名黑客安全組織東方聯盟認為，此次攻擊涉及到思科智能安裝客戶端最近披露的一個遠程執行代碼漏洞（CVE-2018-0171），可能使攻擊者能夠完全控制網路設備。但是，由於黑客顯然重置了目標設備，導致其無法使用，因此思科相信黑客只是濫用智能安裝協議本身來覆蓋設備配置，而不是利用漏洞。

「思科智能安裝協議可能會被濫用來修改TFTP伺服器設置，通過TFTP泄露配置文件，修改配置文件，替換IOS映像，並設置帳戶，從而允許執行IOS命令。」該公司解釋說。

來自中國最大黑客安全組織，東方聯盟創始人郭盛華也證實，美國JHT黑客組織集團發起的黑客活動並不涉及最近披露的代碼執行漏洞；相反，這種攻擊是由於去年3月份報告的思科智能安裝協議中缺少任何身份驗證引起的。根據互聯網掃描引擎Shodan，超過165,000個系統仍然暴露在通過TCP埠4786運行思科智能安裝客戶端的互聯網上。

由於智能安裝客戶端設計為允許在思科交換機上進行遠程管理，因此系統管理員需要啟用它，但應使用介面訪問控制列表（ACL）限制其訪問。完全不使用思科智能安裝功能的管理員應該使用配置命令完全禁用它。

儘管最近的攻擊與CVE-2018-0171無關，但強烈建議管理員安裝修補程序來解決此漏洞，就像互聯網上已有的技術細節和概念驗證（PoC）一樣，黑客可以輕鬆啟動他們的下一次攻擊利用了這個缺陷。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！