CIA Vault 7泄露事件余温未过,思科专家就发现其IOS与IOS XE软件集群管理协议存在远程代码执行漏洞。
最近维基解密刚刚宣布计划与某些IT企业分享一些有关他们产品存在缺陷的细节,CIA Vault7数据泄露事件中就包括一些黑客工具和技术对这些漏洞的利用。阿桑奇给这些公司发了一封“有条件”的邮件,要求这些IT企业必须满足并执行这些条件才能获得这些细节信息。
但是看起来,某些IT巨头是不甘于就这样接受阿桑奇的条件,思科就开始了自己的内部检测,分析了包括Vault 7在内的所有文件。到目前为止,思科发现了存在于IOS/IOS XE之中的漏洞,影响范围超过300款不同型号的交换机,从2350-48TD-S交换机到SM-X Layer 2/3 EtherSwitch服务模块。
漏洞概况:
该漏洞存在于思科IOS与IOS XE软件的CMP协议(思科集群管理协议)处理代码中,可被未经授权的攻击者利用,提升权限并远程执行代码,另外还能导致设备重新加载。攻击者因此也就能够获得设备的完整控制权了。
对集群内的设备来说,这里的CMP协议采用Telnet作为内部信号和命令收发的协议。
此漏洞可以说是两种因素联合导致的:
没能正确将CMP专用Telnet选项限制在集群设备之间的内部通讯,设备会接受并处理通过任意Telnet连接的相关选项;
针对恶意CMP专用Telnet设置的错误处理
入侵者可以直接发送恶意构造的CMP专用Telnet选项给设备,配置为接受Telnet连接、受到影响的思科设备会建立Telnet会话。
该漏洞影响到相应设备的默认配置,即便用户没有配置交换机集群也受影响,通过IPv4或IPv6都可利用该漏洞。
影响范围:
思科在安全公告中已经确定,这种漏洞影响超过264种Catalyst交换机,51种工业以太网交换器和其他3种思科设备。存在缺陷的设备都运行IOS并配置为接受Telnet连接。详情点击这里。
缓解措施:
思科专家暂时提供了缓解措施,就是禁用Telnet连接,并表示SSH依然是远程访问设备的最佳选择。另外不像禁用Telnet协议的,可以通过采用iACL(基建访问控制列表)来减少攻击面。暂无其他解决方案
目前思科正在着手努力修复此漏洞,但是具体的补丁发布时间无法确定。
思科在博客中说,因为Vault 7并没有公开相关恶意程序和工具的详情,所以思科能做的也比较有限,思科未来会持续对文档进行分析。
