菜单

Vault 7泄露文档后续:思科针对某个影响到300款交换机的漏洞发出预警

2017年3月24日 - 信息安全

CIA Vault 7泄露事件余温未过,思科专家就发现其IOS与IOS XE软件集群管理协议存在远程代码执行漏洞。

最近维基解密刚刚宣布计划与某些IT企业分享一些有关他们产品存在缺陷的细节,CIA Vault7数据泄露事件中就包括一些黑客工具和技术对这些漏洞的利用。阿桑奇给这些公司发了一封“有条件”的邮件,要求这些IT企业必须满足并执行这些条件才能获得这些细节信息。

但是看起来,某些IT巨头是不甘于就这样接受阿桑奇的条件,思科就开始了自己的内部检测,分析了包括Vault 7在内的所有文件。到目前为止,思科发现了存在于IOS/IOS XE之中的漏洞,影响范围超过300款不同型号的交换机,从2350-48TD-S交换机到SM-X Layer 2/3 EtherSwitch服务模块。

cisco-says-cia-can-exploit-318-of-its-switches-promises-fix-514096-2.png

漏洞概况:

该漏洞存在于思科IOS与IOS XE软件的CMP协议(思科集群管理协议)处理代码中,可被未经授权的攻击者利用,提升权限并远程执行代码,另外还能导致设备重新加载。攻击者因此也就能够获得设备的完整控制权了。

对集群内的设备来说,这里的CMP协议采用Telnet作为内部信号和命令收发的协议。

此漏洞可以说是两种因素联合导致的:

没能正确将CMP专用Telnet选项限制在集群设备之间的内部通讯,设备会接受并处理通过任意Telnet连接的相关选项;

针对恶意CMP专用Telnet设置的错误处理

入侵者可以直接发送恶意构造的CMP专用Telnet选项给设备,配置为接受Telnet连接、受到影响的思科设备会建立Telnet会话。

该漏洞影响到相应设备的默认配置,即便用户没有配置交换机集群也受影响,通过IPv4或IPv6都可利用该漏洞。

影响范围:

思科在安全公告中已经确定,这种漏洞影响超过264种Catalyst交换机,51种工业以太网交换器和其他3种思科设备。存在缺陷的设备都运行IOS并配置为接受Telnet连接。详情点击这里

缓解措施:

思科专家暂时提供了缓解措施,就是禁用Telnet连接,并表示SSH依然是远程访问设备的最佳选择。另外不像禁用Telnet协议的,可以通过采用iACL(基建访问控制列表)来减少攻击面。暂无其他解决方案

目前思科正在着手努力修复此漏洞,但是具体的补丁发布时间无法确定。

思科在博客中说,因为Vault 7并没有公开相关恶意程序和工具的详情,所以思科能做的也比较有限,思科未来会持续对文档进行分析。

发表评论

电子邮件地址不会被公开。 必填项已用*标注