美国黑客组织劫持俄罗斯和伊朗的思科网络交换机

美国黑客组织到底有多厉害&＃xff1f;自上周以来&＃xff0c;一个自称为JHT的美国黑客组织劫持了属于俄罗斯和伊朗组织的大量思科设备&＃xff0c;并留下一条消息&＃xff1a;“不要惹我们的选举”&＃xff0c;用美国国旗。伊朗通信和信息技术部长表示&＃xff0c;这场运动影响到伊朗约数千个网络交换机&＃xff0c;尽管其中大部分已经恢复。

据报道&＃xff0c;该黑客组织针对的是思科智能安装客户端的漏洞安装&＃xff0c;这是一种传统的即插即用实用程序&＃xff0c;旨在帮助管理员远程配置和部署思科设备&＃xff0c;默认情况下在CiscoIOS和IOSXE交换机上启用&＃xff0c;并通过TCP端口运行4786。

中国知名黑客安全组织东方联盟认为&＃xff0c;此次攻击涉及到思科智能安装客户端最近披露的一个远程执行代码漏洞&＃xff08;CVE-2018-0171&＃xff09;&＃xff0c;可能使攻击者能够完全控制网络设备。但是&＃xff0c;由于黑客显然重置了目标设备&＃xff0c;导致其无法使用&＃xff0c;因此思科相信黑客只是滥用智能安装协议本身来覆盖设备配置&＃xff0c;而不是利用漏洞。

“思科智能安装协议可能会被滥用来修改TFTP服务器设置&＃xff0c;通过TFTP泄露配置文件&＃xff0c;修改配置文件&＃xff0c;替换IOS映像&＃xff0c;并设置帐户&＃xff0c;从而允许执行IOS命令。”该公司解释说。

来自中国最大黑客安全组织&＃xff0c;东方联盟创始人郭盛华也证实&＃xff0c;美国JHT黑客组织集团发起的黑客活动并不涉及最近披露的代码执行漏洞&＃xff1b;相反&＃xff0c;这种攻击是由于去年3月份报告的思科智能安装协议中缺少任何身份验证引起的。根据互联网扫描引擎Shodan&＃xff0c;超过165,000个系统仍然暴露在通过TCP端口4786运行思科智能安装客户端的互联网上。

由于智能安装客户端设计为允许在思科交换机上进行远程管理&＃xff0c;因此系统管理员需要启用它&＃xff0c;但应使用接口访问控制列表&＃xff08;ACL&＃xff09;限制其访问。完全不使用思科智能安装功能的管理员应该使用配置命令完全禁用它。

尽管最近的攻击与CVE-2018-0171无关&＃xff0c;但强烈建议管理员安装修补程序来解决此漏洞&＃xff0c;就像互联网上已有的技术细节和概念验证&＃xff08;PoC&＃xff09;一样&＃xff0c;黑客可以轻松启动他们的下一次攻击利用了这个缺陷。