跳到主要內容區塊

2018/05/07

[資安新聞] Cisco警告國家級駭客鎖定其產品進行攻擊

點閱人次:19

公佈單位:TANet VoIP維運團隊

思科(Cisco) 旗下安全團隊Talos Intelligence的研究人員於4/5在其官方部落格表示,攻擊者正在利用思科智慧安裝客戶端(Smart Install Client)協定設定不當的弱點為進入點,以獲取對關鍵基礎設施的存取權限。研究人員稱,攻擊者應是國家層級之駭客組織,賽門鐵克(Symantec)將這個駭客組織稱為Dragonfly,也指出美國US-CERT最近警告,指稱俄羅斯政府對美國能源、核能、商業設施、水資源、航空等關鍵產業進行襲擊。

思科對Smart Install (一種用於快速部署Cisco設備的工具軟體)的警告是在其發布針對該軟體之修補程式後一週發布的。最初思科看到TCP port 4786 (Smart Install所使用之通訊埠)在2017/11左右開始流量的大幅增長,然後在2018/4激增。當時就有資安業者發現掃描Smart Install所使用的通訊埠激增,而就此諮詢思科,懷疑Smart Install的安裝沒有適當的安全控制,攻擊者可以向Smart Install客戶端發送Smart Install協定指令,允許他們更改啟動配置,觸發重新加載,然後將思科IOS作業系統軟體的新映像檔加載到設備上,之後攻擊者就可以在運行IOS和IOS XE的設備上設置帳戶,允許執行IOS命令,並在命令列鍵入指令。當時思科稱它不是一個漏洞,因為Smart Install是刻意設計不需要認證機制的。雖然這不是傳統意義上的漏洞,但協定濫用已成事實,應該立即修正。Talos研究人員使用Shodan查詢發現,由於未正確設定Smart Install客戶端,估計有近168,000個系統設備可能被暴露在駭客攻擊威脅之中。

思科有針對協定濫用問題發布解決方式,也釋出修補程式更新。不過思科還是強調,目前只觀察到協定濫用問題的攻擊,該修補程式所修補的漏洞目前尚未有駭客用於實際環境做攻擊,不過該漏洞已經被公開討論過,並且已有概念驗證程式發布。思科建議在解決協定濫用問題的同時,客戶還是應更新修補程式,以策安全。