近日,国内外多家媒体曝光了包括俄罗斯和伊朗在内的多个cisco设备被黑客入侵,被攻击的cisco设备配置文件startup.config会被覆盖为“don'tmesswithourelections....-jhtusafreedom_jht@tutanota.com”,并可导致cisco设备重启断网。如下图:
很多安全研究组织及媒体猜测这次黑客事件与思科在2018年03月28日发布安全漏洞公告修复编号为cve-2018-0171相关(/security/center/content/ciscosecurityadvisory/cisco-sa-20180328-smi2)。该漏洞是由于ciscoiossmartinstallclient在tcp(4786)端口与smartinstalldirector进行通信时存在缓冲区溢出导致任意代码执行。
据了解,针对该漏洞知道创宇404实验室漏洞应急团队在2018/03/29就进行了漏洞应急并发出漏洞简报预警,同时利用了网络空间搜索引擎zoomeye针对端口tcp(4786)及协议进行了全球探测扫描,并通过蜜罐等手段持续关注。根据知道创宇404实验室漏洞应急团队持续关注跟进结果显示,此次“俄罗斯和伊朗在内的多个cisco设备配置文件被恶意篡改”事件目前没有找到与漏洞cve-2018-0171相关的证据,暂时不排除该漏洞被利用可能。
另外404实验室还注意到此次攻击可能与俄罗斯安全研究员在2016年在黑客大会zeronights上发布的研究成果有关:/security/center/content/ciscosecurityadvisory/cisco-sa-20170214-smi)公告中并没有直接修复这个问题,而只是建议关闭或者限制相关端口通讯。
从知道创宇404实验室提供的网络空间搜索引擎zoomeye针对该协议的探测结果显示,截止至4月9日全球仍然有144581的思科设备开放了ciscosmartinstall端口,其中美国暴露的设备数量位居榜首,占据28.26%,中国占据10.59%,日本占据6.28%。如下图:
知道创宇404实验室也再次发布高危漏洞预警,提醒相关网管人员警惕ciscosmartinstall漏洞并禁用相关端口,详细方案可联系知道创宇404实验室发布的相关报告。