下面是国外的案例，供大家参考：

一群民间黑客攻击了俄罗斯和伊朗的计算机系统，并在屏幕上留下了美国国旗和信息。这群黑客告诉了IT外媒Motherboard他们为什么这么做。

上周五，一群黑客攻击了俄罗斯和伊朗两国的计算机基础设施，影响了众多互联网服务提供商和数据中心，进而影响了一些网站。除了导致设备瘫痪外，黑客还在受影响的机器上留了言，据社交媒体上分享的一些屏幕截图和照片来看，内容是“别捣乱我们的选举”，还附有美国国旗的图案。

现在，幕后实施这次攻击的黑客讲述了他们为什么这么做。

控制一个电子邮件地址的某个黑客周六告诉Motherboard：“我们厌烦了政府撑腰的黑客对美国及其他国家发动攻击。”

网络安全公司卡巴斯基在周五的一篇博文（https://www.kaspersky.com/blog/cisco-apocalypse/21966/）中表示，这次攻击钻了一款名为Cisco Smart Install Client（思科智能安装客户端）的软件中的安全漏洞。思科Talos安全部门周四在自己的博文（http://blog.talosintelligence.com/2018/04/critical-infrastructure-at-risk.html）中表示，它使用计算机搜索引擎Shodan，发现该软件可能暴露了168000个系统。Talos还写道，它观察到黑客钻这个漏洞的空子以攻击关键基础设施，一些攻击据信来自国家力量支撑的黑客。的确，Talos认为最近的活动与美国计算机应急准备小组（CERT）在今年3月发布的那次警告有关。CERT当时声称，俄罗斯政府黑客在攻击能源及其他关键基础设施部门。

据推测，这是本周的民间黑客采取的回应。

他们告诉Motherboard：“我们只是想发送信息，亮明一下态度。”

该屏幕截图显示了黑客在受影响的机器上留下的消息

攻击本身的手法似乎比较简单。技能不太娴熟的黑客之前就开发出了起到类似漫无目标的目的的工具。今年1月，一位匿名的安全研究人员发布了AutoSploit，这个工具扫描计算机搜索引擎Shodan，寻找易受攻击的机器，然后利用渗透测试工具Metasploit找漏洞下手。这次新的攻击在手法上似乎有点类似。

2018年3月28日，Cisco发布了一个远程代码执行严重漏洞通告。通告了思科IOS和IOS-XE系统的配置管理类协议Cisco Smart Install（Cisco私有协议）代码中存在一处缓冲区栈溢出漏洞，漏洞编号为CVE-2018-0171。攻击者无需用户验证即可向远端Cisco设备的 TCP 4786 端口发送精心构造的恶意数据包，触发漏洞造成设备远程执行Cisco系统命令或拒绝服务（DoS）。

其中最严重的是编号CVE-2018-0171的堆叠式缓冲溢位漏洞，它位于IOS及IOS XE中的Smart Install功能中。Smart Install是方便新交换机部署的组态及镜像档管理功能，它可以自动化首次组态，加载现有作业系统镜像档到网络交换机中，加速新机部署的速度，此外也具备组态备份功能。本漏洞由安全公司Embedi发现并通报思科。

漏洞发生于Smart Install Client的代码中，使其未能对封包数据做必要验证。攻击者可以发送含有恶意代码的Smart Install信息给思科交换器上的TCP port 4786，在Smart Install Client启动下，引发SMI IBC Server对恶意信息处理，进而导致堆叠式缓冲溢位攻击。

漏洞相关的技术细节和验证程序已经公开，且互联网上受影响的主机数量非常大。由于此漏洞影响底层网络设备，且漏洞相关PoC已经公开并证实可用，极有可能构成巨大的现实威胁。

漏洞影响

确认受影响的型号：

Catalyst 4500 Supervisor Engines

Cisco Catalyst 3850 Series Switches

Cisco Catalyst 2960 Series Switches

可能受影响的设备型号：

Catalyst 4500 Supervisor Engines

Catalyst 3850 Series

Catalyst 3750 Series

Catalyst 3650 Series

Catalyst 3560 Series

Catalyst 2960 Series

Catalyst 2975 Series

IE 2000

IE 3000

IE 3010

IE 4000

IE 4010

IE 5000

SM-ES2 SKUs

SM-ES3 SKUs

NME-16ES-1G-P

SM-X-ES3 SKUs

未开启Cisco Smart Install管理协议或模式为Director模式的Cisco设备均不受影响。

发现该漏洞的安全公司Embedi最初以为该漏洞只能在企业网络的内部被利用。但是它后来发现数百万受影响的设备暴露在互联网上。

Embedi写道：“由于在安全配置的网络中，Smart Install技术的参与者应该不可以通过互联网来访问。但是扫描互联网后表明，实际情况不是这样。”“我们对互联网进行短暂的扫描后发现了250000个易受攻击的设备和850万个易受攻击的端口敞开的设备。”多款思科路由器和交换机支持Smart Install。端口敞开的设备之所以数量众多，可能是由于在默认情况下，Smart Install客户端的端口TCP 4786是敞开的。

Embedi表示，许多网络管理员忽视了这种情况。该公司还发布了概念证明漏洞代码，所以管理员的当务之急可能是打上补丁。

处置方式

本地自查方法A：（需登录设备）

可以通过以下命令确认是否开启 Smart Install Client 功能：

●switch>show vstack config

●Role:Client (SmartInstall enabled)

●Vstack Director IP address: 0.0.0.0

●switch>show tcp brief all

●TCB Local Address Foreign Address (state)

●0344B794 *.4786 *.* LISTEN

●0350A018 *.443 *.* LISTEN

●03293634 *.443 *.* LISTEN

●03292D9C *.80 *.* LISTEN

●03292504*.80 *.* LISTEN

本地自查方法B：（需登录设备）

switch>show version

将回显内容保存在a.txt中，并上传至Cisco的Cisco IOS Software Checker进行检测。

检测地址：https://tools.cisco.com/security/center/softwarechecker.x

修复方法

升级补丁：

●思科官方已发布针对此漏洞的补丁但未提供下载链接，请联系思科获取补丁。

临时处置措施：：

●switch#conf t

●switch(config)#no vstack

●switch(config)#do wr

●switch(config)#exit

-END-

近期会议推荐

最新日程

微博话题已开启

#第十届中国医学影像信息技术大会#

扫码加入话题组

留下您最感兴趣的问题

©以上文章来源

整理自网络

点击“阅读原文”报名参会