警惕Cisco Smart Install漏洞并禁用相关端口

近日,国内外多家媒体曝光了包括俄罗斯和伊朗在内的多个Cisco设备被黑客入侵,被攻击的Cisco设备配置文件 startup.config 会被覆盖为“Don't mess with our elections.... -JHTusafreedom_jht@tutanota.com”,并可导致Cisco设备重启断网。如下图:

很多安全研究组织及媒体猜测这次黑客事件与思科在2018年03月28日发布安全漏洞公告修复编号为 CVE-2018-0171 相关( https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2 ) 。该漏洞是由于Cisco IOS Smart Install Client 在 TCP(4786) 端口与 Smart Install Director 进行通信时存在缓冲区溢出导致任意代码执行。

据了解,针对该漏洞知道创宇404实验室漏洞应急团队在2018/03/29就进行了漏洞应急并发出漏洞简报预警,同时利用了网络空间搜索引擎ZoomEye针对端口 TCP(4786) 及协议进行了全球探测扫描,并通过蜜罐等手段持续关注。根据知道创宇404实验室漏洞应急团队持续关注跟进结果显示,此次“俄罗斯和伊朗在内的多个 Cisco 设备配置文件被恶意篡改”事件目前没有找到与漏洞 CVE-2018-0171 相关的证据,暂时不排除该漏洞被利用可能。

另外404实验室还注意到此次攻击可能与俄罗斯安全研究员在2016年在黑客大会 zeronights 上发布的研究成果有关:https://2016.zeronights.ru/wp-content/uploads/2016/12/CiscoSmartInstall.v3.pdf。该议题详细介绍了通过 Cisco Smart Install Protocol 入侵 Cisco 设备并发布了相关攻击程序,该程序完全可以实现Cisco 设备的配置文件被篡改导致重启断网、甚至完全控制该设备,跟“俄罗斯和伊朗在内的多个 Cisco 设备配置文件被恶意篡改”事件效果一致。

值得注意的是思科在于2017年2月14日思科官方发布的安全建议预警相关 《Cisco Smart Install Protocol Misuse》(https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170214-smi )公告中并没有直接修复这个问题,而只是建议关闭或者限制相关端口通讯。

从知道创宇404实验室提供的网络空间搜索引擎 ZoomEye 针对该协议的探测结果显示,截止至4月9日全球仍然有144581的思科设备开放了 Cisco Smart Install 端口,其中美国暴露的设备数量位居榜首,占据28.26%,中国占据10.59%,日本占据6.28%。如下图:

知道创宇404实验室也再次发布高危漏洞预警,提醒相关网管人员警惕Cisco Smart Install漏洞并禁用相关端口,详细方案可联系知道创宇404实验室发布的相关报告。

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏SAP最佳业务实践

从SAP最佳业务实践看企业管理(185)-FI-157应收账款

FI157应收账款 该业务情景处理应收帐款中客户的过帐会计数据。客户在此处对数据进行排序,使数据对其他区域(如销售和分销系统)可用。当您过帐应收帐款中的数据时,...

35390
来自专栏企鹅号快讯

新的加密货币挖矿病毒感染脸书Messenger

暴走时评:网络安全研究员发现新型恶意软件通过脸书Messenger在全球传播。Digmine伪装成视频文件链接发送给受害者,其实是可执行脚本。利用谷歌Chrom...

19990
来自专栏FreeBuf

BlackHat议题:利用卫星接收器拓展僵尸网络

Turla APT组织,也被称为Snake或者Uroboros,是至今为止最为高级的威胁组织之一。该网络间谍组织已经存在长达8年的时间了,却很少被人知道。 卡...

24460
来自专栏FreeBuf

ShadowBrokers 又搞事!每月支付 400 万美元,多获得两份新泄露的文件,你会买吗?

今年 4 月份,臭名昭著的 ShadowBrokers 入侵 NSA,窃取到 Equation Group 研发的一系列工具,并将这些 exploit 以付费订...

238100
来自专栏FreeBuf

揭秘:深入解读针对苹果Mac电脑的ROM级恶意软件“雷击(Thunderstrike)”

众所周知苹果Mac电脑很安全,但是随着恶意软件的发展,凭借现有Mac安全机制想要完全对抗恶意软件的感染可能会变得更加艰难。近期一种新型恶意软件的问世,使得黑客通...

23760
来自专栏FreeBuf

揭秘盗取“羊毛党”比特币的钓鱼攻击事件 | 一例C2服务器跟踪分析报告

1 概述 行文之前先界定两个概念。 羊毛党,指关注与热衷于“薅羊毛”的群体,是指那些专门选择企业的营销活动、广告投放等,以低成本甚至零成本来换取高额奖励的人。早...

59570
来自专栏http://www.cnblogs.com

模拟实现ATM+购物商城程序

流程图: ? 需求: ATM:模拟实现一个ATM + 购物商城程序 额度 15000或自定义 实现购物商城,买东西加入 购物车,调用信用卡接口结账 可以提现,手...

43680
来自专栏安恒信息

斯诺登揭开英国通讯总部“肮脏把戏”

NBC News日前又从斯诺登曝光的文件中发现了更多惊人内幕。 据了解,斯诺登提供的文件中揭露了英国通讯总部(GCHQ)怎样将目...

30360
来自专栏SDNLAB

攻击SDN交换机,似乎很有趣

软件定义交换机似乎给网络运营商提供了许多功能,但在拉斯维加斯Black Hat 2015全球顶尖安全会议上,一篇名为《STAYING PERSISTENT IN...

38160
来自专栏漏斗社区

专属|Arch Linux 软件库现恶意程序

近日,鲜为人知的网络间谍组织BlackTech被发现使用了友讯科技的证书签名其恶意程序。安全研究员称,证书被用于签名两个恶意负荷,第一个是PLEAD后门,第二个...

16540

扫码关注云+社区

领取腾讯云代金券