近日,国内外多家媒体曝光了包括俄罗斯和伊朗在内的多个Cisco设备被黑客入侵,被攻击的Cisco设备配置文件 startup.config 会被覆盖为“Don't mess with our elections.... -JHTusafreedom_jht@tutanota.com”,并可导致Cisco设备重启断网。如下图:
很多安全研究组织及媒体猜测这次黑客事件与思科在2018年03月28日发布安全漏洞公告修复编号为 CVE-2018-0171 相关( https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2 ) 。该漏洞是由于Cisco IOS Smart Install Client 在 TCP(4786) 端口与 Smart Install Director 进行通信时存在缓冲区溢出导致任意代码执行。
据了解,针对该漏洞知道创宇404实验室漏洞应急团队在2018/03/29就进行了漏洞应急并发出漏洞简报预警,同时利用了网络空间搜索引擎ZoomEye针对端口 TCP(4786) 及协议进行了全球探测扫描,并通过蜜罐等手段持续关注。根据知道创宇404实验室漏洞应急团队持续关注跟进结果显示,此次“俄罗斯和伊朗在内的多个 Cisco 设备配置文件被恶意篡改”事件目前没有找到与漏洞 CVE-2018-0171 相关的证据,暂时不排除该漏洞被利用可能。
另外404实验室还注意到此次攻击可能与俄罗斯安全研究员在2016年在黑客大会 zeronights 上发布的研究成果有关:https://2016.zeronights.ru/wp-content/uploads/2016/12/CiscoSmartInstall.v3.pdf。该议题详细介绍了通过 Cisco Smart Install Protocol 入侵 Cisco 设备并发布了相关攻击程序,该程序完全可以实现Cisco 设备的配置文件被篡改导致重启断网、甚至完全控制该设备,跟“俄罗斯和伊朗在内的多个 Cisco 设备配置文件被恶意篡改”事件效果一致。
值得注意的是思科在于2017年2月14日思科官方发布的安全建议预警相关 《Cisco Smart Install Protocol Misuse》(https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170214-smi )公告中并没有直接修复这个问题,而只是建议关闭或者限制相关端口通讯。
从知道创宇404实验室提供的网络空间搜索引擎 ZoomEye 针对该协议的探测结果显示,截止至4月9日全球仍然有144581的思科设备开放了 Cisco Smart Install 端口,其中美国暴露的设备数量位居榜首,占据28.26%,中国占据10.59%,日本占据6.28%。如下图:
知道创宇404实验室也再次发布高危漏洞预警,提醒相关网管人员警惕Cisco Smart Install漏洞并禁用相关端口,详细方案可联系知道创宇404实验室发布的相关报告。