一個名為“JHT”的黑客組織在本週五利用 Cisco CVE-2018-0171 (遠程代碼執行漏洞)攻擊了俄羅斯和伊朗兩國的網絡路由器、基礎設施,進而波及了兩國的ISP(互聯網服務提供商)、數據中心以及某些網站。據 Mydrivers 報道,Cisco CVE-2018-0171是2018年3月28日,Cisco發布的一個遠程代碼執行漏洞,其為 Cisco IOS和IOS-XE系統的配置管理類協議Cisco Smart Install(Cisco私有協議)代碼中存在的一處緩衝區棧溢出漏洞。攻擊者無需用戶驗證即可向遠端Cisco設備的TCP 4786 端口發送精心構造的惡意數據包,觸發漏洞造成設備遠程執行Cisco系統命令或拒絕服務(DoS)。
而此次攻擊主要利用了Cisco Smart Install Client( Cisco 智能安裝客戶端)軟件中的安全漏洞。利用上述漏洞攻擊Cisco 路由器後,路由器的配置文件startup-config 被覆蓋,路由器將重新啟動。除了導致網絡中斷,黑客還在受影響的機器上留了言,表示他們厭倦了政府支持黑客對美國和其它國家的攻擊,警告說“不要干擾我們的選舉”,並附有美國國旗的圖案。網絡安全公司卡巴斯基在一篇博文中表示,攻擊本身並不復雜,水平一般的黑客也很容易做到。
據路透社報導,伊朗通信和信息技術部稱,全球超過20萬台路由器受到此次攻擊的影響,其中伊朗有3500台受影響設備。伊朗信息通信技術部長Mohammad Javad Azari-Jahromi則公開表示,攻擊主要影響的是歐洲、印度和美國。目前受影響的伊朗路由器中95%已恢復正常服務。有趣的是,黑客表示他們曾掃描了許多國家的網絡以查找易受攻擊的系統,包括英國、美國和加拿大,但只是“攻擊”了俄羅斯和伊朗,對於提醒美、英等國路由器設備上存在漏洞問題“居功至偉”。
Source: Mydrivers