最近维基解密揭露了思科广泛部署的IOS软件的一个漏洞导致该公司发布了严重警告催化剂网络客户。
+更多关于网络世界的思科安全:足球竞猜app软件思科安全咨询转储发现20个警告,2个严重警告+
该漏洞可以让攻击者重新加载受影响的设备,或远程执行代码接管设备。该漏洞影响了从型号2350-48TD-S交换机到思科SM-X层2/3 EtherSwitch服务模块的300多种Cisco Catalyst交换机。
该漏洞包含在集群管理协议中,该协议使用Telnet作为集群成员之间的信令和命令协议。思科表示,这一漏洞是由于两个因素的结合:
- 没有将特定于cmp的Telnet选项的使用限制为集群成员之间的内部、本地通信,而是通过到受影响设备的任何Telnet连接接受和处理这些选项
- 对格式不正确的cmp特定Telnet选项的不正确处理。
思科公司在声明中写道:
基于“Vault 7”的公开披露,思科对可能受到这些及类似漏洞和漏洞影响的产品展开了调查。思科安全研究人员发现,这是针对我们自己产品和公开信息的内部调查的一部分一个漏洞在思科IOS和思科IOS XE软件中的集群管理协议代码中,可以允许未经身份验证的远程攻击者重新加载受影响的设备或以更高权限远程执行代码。
就需要考虑的缓解措施而言,将Telnet协议禁用为传入连接所允许的协议将消除利用向量。Cisco建议禁用Telnet并使用SSH。关于如何做到这两点的信息可以在加强思科IOS设备的思科指南。无法或不愿禁用Telnet协议的客户可以通过实现基础设施访问控制列表(iACL)来减少攻击面。
Cisco说没有解决这个漏洞的方法,但是禁用Telnet协议并使用SSH作为允许的协议来连接可以消除这个漏洞。关于如何做到这两点的信息可以在加强思科IOS设备的思科指南。
思科表示,无法或不愿禁用Telnet协议的客户可以通过实施iACLs来减少攻击面。有关iACLs的资料载于以下文件:保护您的核心:基础设施保护访问控制列表。
思科在博客中写道由于最初泄露的Vault 7中提到的工具和恶意软件都不是维基解密提供的,思科可以采取的行动范围是有限的。我们所能做的,一直在做的,并将继续做的就是积极分析那些已经被披露的文件。根据对披露文件的初步分析:
- 恶意软件的存在似乎针对不同类型和系列的思科设备,包括多个路由器和交换机系列。
- 恶意软件,一旦安装在一个思科设备,似乎提供一系列功能:数据收集、数据漏出,命令执行与管理权限(和没有任何日志的命令被执行),HTML流量重定向,操纵和修改(插入web页面上的HTML代码),DNS中毒,秘密隧道等等。
- 作者花了大量的时间来确保这些工具一旦安装,就会试图隐藏起来,不被设备本身的检测和法医分析发现。
- 似乎恶意软件的作者在质量保证测试上花费了大量的资源——为了确保安装了恶意软件后不会导致设备崩溃或行为不端。
3月维基解密公布的它声称超过8700份文件来自中央情报局网络情报中心。一些公开的文件描述了该间谍机构如何使用恶意软件和黑客工具来攻击iphone和智能电视机。还有一些人详细描述了CIA部门对Windows、苹果的OS X、Linux和路由器的攻击。