[高危缝隙警报] 思科高危缝隙被用来攻击关键基础设施，我国已有机构受到攻击

颁布功夫 2018-04-08

2018年3月28日，思科颁布了高危缝隙预警称思科IOS、IOS XE和IOS XR软件中存在多个缝隙。其中蕴含2个远程代码执行缝隙CVE-2018-0171、CVE-2018-0151。攻击者可利用缝隙进行未授权接见、提权、执行肆意代码或导致回绝服务。

缝霞述

Cisco Smart Install远程代码执行缝隙（CVE-2018-0171）风险等级：超危

Cisco IOS、IOS XE软件Smart Install客户端中存在缓冲区仓库溢露马脚（CVE-2018-0171），该缝隙是由于对分组数据验证不当造成的。未经身份验证的远程攻击者，能够通过机关恶意Small Install新闻包，向受影响设备的TCP 4786端口发送该数据包，沉载指标设备，造成设备回绝服务（DoS）或允许远程代码执行。

由于4786端口默认开启，且该缝隙poc已经被公开，缝隙风险水平极高。

该缝隙存在于运行了Cisco IOS/IOS EX受影响版本软件，且为Smart Install Client模式的设备。未开启Cisco Smart Install，或被设置为Smart Install Director模式的设备不在影响之列。

Cisco QoS远程代码执行缝隙（CVE-2018-0151）风险等级：超危

该缝隙是由于受影响设备对达到其UDP 18999端口的数据包中某些值的天堑查抄不当造成的。攻击者可通过向受影响设备发送恶意机关的数据包来利用缝隙，受影响设备在处置数据包时可能产生缓冲区溢出，导致设备沉载。该缝隙影响所有运行了Cisco IOS/IOS EX受影响版本软件的设备。

目前国际上或许有二十万受影响设备露出在公网上：

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1

上周，一个名为“JHT”的黑客组织利用思科CVE-2018-0171 智能装置缝隙攻击了蕴含俄罗斯和伊朗在内的多个国度网络基础设施。被攻击的Cisco路由器的配置文件startup.config会被覆盖，路由器将沉新启动。除了导致大面积网络中断以表，治理员还会发现路由器配置文件被更改成：“Don't mess with our elections.... -JHT usafreedom_jht@tutanota.com”。

今天，我们陆续收到多个国内机构遭逢同样的攻击的新闻。被攻击的设备除瘫痪表，配置文件还会显示一个美国国旗。

gif;base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAABCAYAAAAfFcSJAAAADUlEQVQImWNgYGBgAAAABQABh6FO1AAAAABJRU5ErkJggg==

解决规划

1.Cisco官方已经颁布了更新补丁，，建议有关用户尽快更新升级。（https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2）

2.GA黄金甲已于4月4日升级事务库，事务名称：TCP_Cisco_SmartInstall_远程代码执行缝隙(CVE-2018-0171)，请宽大用户实时升级。

天阗入侵检测系统报警截图：

天清入侵防御系统报警截图：

天清Web利用安全网关报警截图：

缝霞述

Cisco Smart Install远程代码执行缝隙（CVE-2018-0171）风险等级：超危

由于4786端口默认开启，且该缝隙poc已经被公开，缝隙风险水平极高。

Cisco QoS远程代码执行缝隙（CVE-2018-0151）风险等级：超危

目前国际上或许有二十万受影响设备露出在公网上：

今天，我们陆续收到多个国内机构遭逢同样的攻击的新闻。被攻击的设备除瘫痪表，配置文件还会显示一个美国国旗。

GA黄金甲·(中国区)官方网站

解决规划

1.Cisco官方已经颁布了更新补丁，，建议有关用户尽快更新升级。（https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2）

2.GA黄金甲已于4月4日升级事务库，事务名称：TCP_Cisco_SmartInstall_远程代码执行缝隙(CVE-2018-0171)，请宽大用户实时升级。

天阗入侵检测系统报警截图：

GA黄金甲·(中国区)官方网站

天清入侵防御系统报警截图：

GA黄金甲·(中国区)官方网站

天清Web利用安全网关报警截图：

GA黄金甲·(中国区)官方网站

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

[高危缝隙警报] 思科高危缝隙被用来攻击关键基础设施，我国已有机构受到攻击

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线

软件升级

投资者关系

安全钻研

[高危缝隙警报] 思科高危缝隙被用来攻击关键基础设施，我国已有机构受到攻击

7*24幼时服务热线

[高危缝隙警报] 思科高危缝隙被用来攻击关键基础设施，我国已有机构受到攻击