上周,俄罗斯和伊朗多个网络基础设施遭到攻击,攻击涉及全球200000只路由器交换机,包括伊朗的3500只交换机。攻击者疑似利用了思科IOS/IOS XE远程代码执行漏洞cve-2018-0171。而就在今天,国内多个机构遭受同样的攻击。根据国外的案例,遭受攻击的企业,除了设备瘫痪之外,屏幕上还显示出美国国旗。
FreeBuf曾报告过这个漏洞的详细分析,是Embedi 安全公司研究员在 Smart Install Client 代码中发现一个缓冲区堆栈溢出漏洞。攻击者利用这个漏洞可以不经身份验证远程执行任意代码。也就是说,攻击者能够完全控制受漏洞影响的网络设备。
在思科发布漏洞预警之时,全球受影响的设备高达850万,当然也包括国内。
根据俄罗斯和伊朗所遭受攻击的情况了来看, 黑客攻击导致设备瘫痪之后,还留下了字条称:“不要干涉我们的选举”,同时还附上美国国旗。
根据外媒Motherboard报道, 黑客通过控制的电子邮件阐述了此次攻击的目的:我们厌倦了有政府支持的针对美国或者其他国家的网络攻击。甚至还略带自豪的表示:“多亏我们的努力,很多国家已经没有易受攻击的设备了”。
专家推测,这次大范围的网络攻击应该是由民间发起,以此来表示对俄罗斯干涉美国大选的不满。
就在今天,多个用户在社交媒体上表示自己公司纷纷中招。借此提醒国内其他厂商和机构尽快打好补丁,降低风险。
受漏洞影响的软硬件
经验证存在漏洞的设备包括:Catalyst 4500Supervisor Engines、Cisco Catalyst 3850 SeriesSwitches 和 CiscoCatalyst 2960 Series Switches。
Cisco Catalyst 4500 SupervisorEngine 6L-E
Cisco IOS 15.2.2E6 (Latest,Suggested)
cat4500e-entservicesk9-mz.152-2.E6.bin(23-DEC-2016)
Cisco Catalyst 2960-48TT-L Switch
Cisco IOS 12.2(55)SE11 (Suggested)
c2960-lanbasek9-mz.122-55.SE11.bin(18-AUG-2016)
Cisco IOS 15.0.2-SE10a (Latest)
c2960-lanbasek9-mz.150-2.SE10a.bin(10-NOV-2016)
Cisco Catalyst 3850-24P-E Switch
Cisco IOS-XE 03.03.05.SE
cat3k_caa-universalk9.SPA.03.03.05.SE.150-1.EZ5.bin(03-NOV-2014)
此外,所有具备 Smart Install Client 的设备都可能受到漏洞影响,包括下列:
Catalyst 4500 Supervisor Engines
Catalyst 3850 Series
Catalyst 3750 Series
Catalyst 3650 Series
Catalyst 3560 Series
Catalyst 2960 Series
Catalyst 2975 Series
IE 2000
IE 3000
IE 3010
IE 4000
IE 4010
IE 5000
SM-ES2 SKUs
SM-ES3 SKUs
NME-16ES-1G-P
SM-X-ES3 SKUs
关于该漏洞的更多信息,可查看FreeBuf之前的内容:
思科Smart Install的远程代码执行漏洞(CVE-2018-0171)详细分析
随着全球范围内不断出现该漏洞的攻击事件,多数企业已经意识到风险, 提前解决了隐患, 受影响的思科设备也大幅减小。