北京赛场pk10历史记录

黑客利用思科交换机中的漏洞攻击关键基础设施

更新:2019-08-14 编辑:北京赛场pk10历史记录 来源:金粉专家团 热度:8219℃

攻击者正在利用一些思科交换机中的软件漏洞瞄准多个国家的关键基础设施,该漏洞已成为一年多以来一直关注的问题。

根据思科Talos安全部门4月5日发布的博客文章,网络攻击正在利用思科官员所谓的思科智能安装客户端中的“协议滥用”情况,该客户端旨在实现无接触安装和部署新思科硬件,特别是思科交换机。Talos部门将大部分攻击归咎于民族国家,并表示它们与上个月美国证券发布的一份报告中详述的相似,据称与俄罗斯政府有关的黑客攻击美国政府机构和组织,如核,水,航空,能源,商业设施nd制造。

思科于2017年2月发现了一个警报,发现智能安装客户端未关闭或配置了属性安全控件的系统的互联网扫描数量有所增加。如果没有正确的安全控制,黑客可以向运行CiscoIOS或IOSXE网络操作系统的交换机发送新命令。

进一步阅读Brinqa如何为可行的洞察力提供支持网络风险Splunk与LogRhythm:SIEM正面交锋

根据思科Talos威胁研究员NickBiasini的博客文章,智能安装协议可能被滥用以“修改TFTP服务器设置”通过TFTP泄露配置文件,修改配置文件,替换IOS映像,并设置帐户,允许执行IOS命令。“Biasini补充道,”虽然这不是传统意义上的漏洞,但滥用此协议是一个应该立即减轻的攻击向量。“

Cisco使用Shodan工具发现全球超过168,000个系统可能通过智能安装客户端受到威胁,这个数字小于Tenable在2016年发现的251,000网络安全公司。尽管如此,它仍然是很多系统自思科14个月前首次披露以来,智能安装技术的潜在不良行为者的扫描一直在进行。据说,根据Talos编制的数据,2017年11月开始扫描的数量已经达到峰值,而且已经达到顶峰。

“值得注意的是,我们看到思科智能的扫描量有所增加安装客户端,“Biasini写道。

Talos博客文章发布一周后,思科发布了安全公司Embedi发现的基于堆栈的缓冲区溢出漏洞的补丁,该漏洞创建了一个关键的远程代码执行缺陷并且可能允许攻击者可以完全控制易受攻击的交换机。根据Embedi在3月29日发布的报告,“短暂的互联网扫描检测到250,000个易受攻击的设备和850万个易受攻击的端口开放的设备。可能发生这种情况是因为在SmartInstall客户端上默认打开端口TCP(4786),并且网络管理员不会以某种方式注意到这一点。“

Talos关于智能安装客户端的扫描警报飙升在Cisco4786端口。

根据思科的说法,组织可以通过运行命令“showvstackconfig”来确定设备是否受到智能安装问题的影响,该命令将显示智能安装客户端是否处于活动状态。此外,“如果日志记录级别设置为6(信息性)或更高,则可能存在其他指标,”Biasini写道。“这些日志可能包括但不限于通过TFTP执行写入操作,执行命令和设备重新加载。”

(责任编辑:北京赛场pk10历史记录)

本文地址:http://www.lapis2.com/diaojiugongju/diaojiubei/201908/1385.html

上一篇:不完全是林肯和道格拉斯

下一篇:没有了

相关文章