CIA Vault7曝思科IOS与IOS XE远程代码执行漏洞
E安全3月21日讯 就在CIA Vault7大规模泄露后,来自思科的专家们通过调查发出警告,称思科IOS与IOS XE软件集群管理协议中存在远程代码执行漏洞。
最近,维基解密宣布计划与部分IT企业就其产品中存在之安全漏洞的详细信息开展共享,而这些漏洞则来自此前已然引发轩然大波的CIA Vault7曝光副本中的相关黑客工具与技术利用描述。
维基解密创始人阿桑奇在发送给各技术厂商的邮件中提出“一系列条件”,要求填写并认可后方能够访问Vault7副本中的具体信息。
不过就目前来看,部分IT巨头似乎并不打算接受这些条件,思科公司正是其中之一——网络巨头正在对Vault7当中包含的文档进行分析。思科已经确认一项IOS/IOS XE bug,其影响到思科公司旗下超过300种交换机机型。
思科IOS与思科IOS XE软件当中的思科集群管理协议(简称CMP)处理代码内包含的这项漏洞可被未经授权的攻击者所远程利用,从而以远程方式以高权限方式进行代码执行并导致相关设备进行重新加载。
攻击者可以凭借该漏洞获得对目标设备的完整控制权。
这项用于远程登录的集群管理协议在各集群成员之间充当信令与命令协议。
此项安全漏洞主要由以下两项因素相结合而引发:
未能将特定CMP远程登录选项限定在仅介于集群内各成员间的本地内部通信中,而是允许任何受影响设备通过远程登录连接的方式接受并处理这些选项;
对恶意格式的特定CMP远程登录选项进行不当处理。
攻击者能够通过发送恶意格式的特定CMP远程登录选项的方式触发此项安全漏洞,同时利用受影响思科设备建立一项远程登录会话,经由配置以接受上述远程登录连接。
此项安全漏洞会影响到目标设备的默认配置场景,即用户未对交换机集群进行配置的情况,且可通过IPv4或者IPv6实现。
思科公司在中表示:
“攻击者能够通过发送恶意格式的特定CMP远程登录选项的方式触发此项安全漏洞,同时利用受影响思科设备建立一项远程登录会话,经由配置以接受上述远程登录连接。此类利用手段将允许攻击者执行任意代码,获取对目标设备的完整控制权或者导致受影响设备进行重新加载。“
思科咨询部门确认该项安全漏洞总计影响到264款Catalyst交换机、51款工业以太网交换机以及其它3款思科设备。当然,这些存在安全漏洞的设备亦全部运行有IOS软件并可通过远程登录连接实现配置。
作为应对措施,思科公司的专家们建议禁用远程登录连接,并将SSH作为远程设备访问的最佳实现选项。
截至撰稿之时,我们尚不清楚此项安全漏洞是否已经被恶意人士所实际利用。
E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。