CIA Wikileaks Dump Bares IOS安全弱点后,Cisco问题批判性警告
Cisco广泛部署的IOS软件在最近的Wikileaks Dimpoits中披露的IOS软件已经触发了该公司为其催化剂网络客户发布了一个关键警告。
+更多关于网络世界的思科安全:思科安全咨询转储发现20个警告,2批判+
该漏洞 - 可以让攻击者导致受影响的设备或远程执行代码重新加载并接管设备 - 影响来自2350-48TD-S开关的300多种思科催化剂交换机到思科SM- x第2/3层etherswitch服务模块。
具体地,该漏洞包含在群集管理协议中,该协议使用Telnet作为集群成员之间的信令和命令协议。脆弱性是由于两个因素的组合思科说:
未能限制使用CMP特定Telnet选项的使用仅在集群成员之间的内部,本地通信,而是通过任何与受影响设备的Telnet连接接受和处理此类选项,以及格式特定的CMP特定Telnet选项的不正确处理。思科写下了本披露及其与所谓的Vault 7 CIA发布的关系:
“基于”Vault 7“公开披露,思科推出了对可能受这些和类似的利用和漏洞影响的产品的调查。作为我们自己产品和公开信息的内部调查的一部分,思科安全研究人员发现了Cisco IOS和Cisco IOS XE软件中的群集管理协议代码中的漏洞,可以允许未经身份验证的远程攻击者导致重新加载受影响的设备或远程执行代码,具有提升的权限。
在要考虑的缓解方面,禁用Telnet协议作为传入连接的允许协议将消除漏洞载体。Cisco建议使用禁用Telnet和使用SSH。有关如何进行的信息,可以在Cisco指南上找到硬化Cisco IOS设备。无法或不愿意禁用Telnet协议的客户可以通过实现基础架构访问控制列表(IACL)来减少攻击面。
思科写道,没有解决方法,可以解决此漏洞,但禁用Telnet协议并使用SSH作为允许的传入连接协议将消除漏洞载体。有关如何进行的信息,可以在Cisco指南上找到硬化Cisco IOS设备。
思科表示,无法或不愿禁用Telnet协议的客户可以通过实现IACLS来减少攻击面。有关IACLS的信息可以在以下文件中找到:保护您的核心:基础架构保护访问控制列表。
思科在博客中写道,由于Wikileaks提供了初始Vault 7披露中没有引用的工具和恶意软件,因此思科可以采取的操作范围是有限的。我们能做的,一直在做什么,并将继续做的是积极分析已经披露的文件。根据披露文件的初步分析:
恶意软件似乎针对思科设备的不同类型和家庭,包括多个路由器和交换机。恶意软件,一旦安装在Cisco设备上,似乎提供了一系列功能:数据收集,数据exfiltration,命令执行管理权限的命令执行(并且没有任何执行此类命令的记录),HTML流量重定向,操作和修改(在网页上插入HTML代码),DNS中毒,隐蔽隧道和其他。作者花了很多时间确保了工具,一旦安装,尝试仍然隐藏在设备本身上的检测和法医分析。似乎是恶意软件作者在质量保证测试上花费了大量资源 - 似乎确保一旦安装了恶意软件不会导致设备崩溃或行为不端。三月维基解密释放了超过8,700份的文件,其中来自CIA的网络情报中心。一些文件发布描述了间谍机构如何使用恶意软件和黑客工具来定位iPhone和智能电视机。其他人详细介绍了CIA单位努力损害Windows,Apple“S OS X,Linux和路由器。
这个故事,“CIA Wikileaks Dump Bares IOS安全疲软”最初由网络世界发表的问题,“思科问题发出批判警告。
