首页 >民生舆情

警惕CiscoSmartInstall漏

2018-08-23 17:42:34 | 来源: 民生舆情

警惕Cisco Smart Install漏洞并禁用相关端口

近日,国内外多家媒体曝光了包括俄罗斯和伊朗在内的多个Cisco设备被黑客入侵,被攻击的Cisco设备配置文件 nfig 会被覆盖为Don't mess with our elections.... [emailprotected],并可导致Cisco设备重启断。如下图:

很多安全研究组织及媒体猜测这次黑客事件与思科在2018年03月28日发布安全漏洞公告修复编号为 CVE- 相关( ) 。该漏洞是由于Cisco IOSSmart Install Client 在 TCP(4786) 端口与 Smart Install Director 进行通信时存在缓冲区溢出导致任意代码执行。

据了解,针对该漏洞知道创宇404实验室漏洞应急团队在2018/03/29就进行了漏洞应急并发出漏洞简报预警,同时利用了络空间搜索引擎ZoomEye针对端口 TCP(4786) 及协议进行了全球探测扫描,并通过蜜罐等手段持续关注。根据知道创宇404实验室漏洞应急团队持续关注跟进结果显示,此次俄罗斯和伊朗在内的多个 Cisco 设备配置文件被恶意篡改事件目前没有找到与漏洞 CVE- 相关的证据,暂时不排除该漏洞被利用可能。

另外404实验室还注意到此次攻击可能与俄罗斯安全研究员在2016年在黑客大会 zeronights 上发布的研究成果有关:。该议题详细介绍了通过 Cisco Smart Install Protocol 入侵 Cisco 设备并发布了相关攻击程序,该程序完全可以实现Cisco 设备的配置文件被篡改导致重启断、甚至完全控制该设备,跟俄罗斯和伊朗在内的多个 Cisco 设备配置文件被恶意篡改事件效果一致。

值得注意的是思科在于2017年2月14日思科官方发布的安全建议预警相关 《Cisco Smart Install Protocol Misuse》( )公告中并没有直接修复这个问题,而只是建议关闭或者限制相关端口通讯。

从知道创宇404实验室提供的络空间搜索引擎 ZoomEye 针对该协议的探测结果显示

警惕CiscoSmartInstall漏

,截止至4月9日全球仍然有144581的思科设备开放了 Cisco Smart Install 端口,其中美国暴露的设备数量位居榜首,占据28.26%,中国占据10.59%,日本占据6.28%。如下图:

猜你喜欢