CIA事件余波：300多种思科交换机深受其毒，一个0day即可远程控制

近日，思科警告称，其数百个产品中使用的软件极易受到一个“关键”零日漏洞的影响，攻击者可以通过简单的命令轻松地、远程地利用该漏洞，该漏洞还允许攻击者远程获取访问权限并接管受影响的设备。

思科在一份安全公告中表示，超过300种交换机受到该安全漏洞影响。该安全公告显示，漏洞是在思科IOS和IOS XE软件的集群管理协议（CMP）代码中找到的，而这些软件主要安装于思科公司销售的路由器和交换机上。

公告称，

攻击者可以在建立与受影响设备的连接时，通过发送格式不正确的协议特定（protocol-specific）Telnet命令来利用该漏洞。成功利用漏洞后，攻击者可以重启受影响的设备或在设备上远程执行任意代码，以提高权限并完全控制设备。

CMP特定Telnet选项默认处理，这意味着即使设备上未运行集群配置命令，攻击者仍可从IPv4或IPv6地址通过Telnet利用漏洞。

根据思科研究人员所言，集群管理协议（CMP）内的Telnet连接发生漏洞的原因有两个：

第一，协议未将CMP特定Telnet选项限制在集群成员之间的内部／本地通信中，而是与受影响设备建立的所有Telnet连接，均接受并处理该命令；
第二，错误地处理畸形CMP特定Telnet选项。

思科表示会发布软件更新修复其IOS和IOS XE系统中的漏洞，但是却没有说明什么时候会释放安全补丁。在补丁可用之前，思科建议用户可以用SSH替代Telnet，以缓解漏洞攻击威胁。

据悉，该安全漏洞是由思科公司自己的安全研究人员在维基解密上周发布的最新分类信息披露文档中发现的，但是具体哪个文档尚不清楚。该漏洞影响了264个Catalyst交换机、51个工业以太网交换机以及3个其他类型设备，包括嵌入式服务2020系列交换机、Enhanced Layer 2/3 EtherSwitch Service Module、Enhanced Layer 2 EtherSwitch Service Module、ME 4924-10GE交换机、IE工业以太网交换机、RF Gateway 10、SM-X Layer 2/3 EtherSwitch Service Module以及惠普千兆以太网交换机模型（CGESM）。点击查看完整列表。

维基解密泄漏的“Vault7”文档涉及中央情报局的秘密网络攻击部门，网络情报中心，以及该部门开发、构建和测试的后门、漏洞利用、恶意有效载荷以及该机构实施秘密网络攻击活动所用到的其他类型的恶意软件。

然而，“举报者”——维基解密网站表示，它已经对披露文档进行了数千次修订，以防止文件中“意外”释放出安全漏洞代码，但是它还是因为泄漏了一些敏感信息（包括名称、电子邮件地址以及目标的外部IP地址）而饱受批评。

维基解密之前就曾因为处理披露文件时不专业的方式而饱受批评。去年，维基解密发布了从土耳其执政党AKP（正发党）服务器中窃取的邮件，其中包括上百个可下载恶意软件的链接。

Motherboard报告称，维基解密尚未向有关公司提供安全漏洞的详细信息。在一份简短的声明中，维基解密表示，中央情报局密储的这些漏洞使得“大量的互联网基础设施易受网络攻击威胁”，这种行为“明显违背了奥巴马政府2014年承诺的不密储扩散化漏洞的决议”。

据悉，截至目前还没有出现使用该漏洞的攻击实例，但是一旦有了第一个就会有成千上万个，全球各地安装思科设备的用户都将置身危险之中。所以请大家时刻关注思科的安全更新，一旦修补程序发布，一定要立即进行更新，避免给攻击者可乘之机。