思科周一发布安全公告,公布自家高达318款网路交换机产品软体存在一款漏洞,能让CIA等外部骇客远端下指令执行恶意程式码取得控制权。目前该漏洞还没能修补。
思科明白指出,这项漏洞是该公司分析两周前维基解密公布的美国中情局(CIA)机密文件发现到。思科藉此警告用户可能因此遭到CIA监听或窃取机密
这项漏洞位于Cisco 作业系统IOS及IOS XE中的丛集管理协定(Cluster Management Protocol,CMP)。CMP使用Telnet作为不同丛集间的通讯和指令协定,但却未能限制只接收丛集的内部或本地通讯,而是可接受并处理任何Telnet连线,另一个问题则是未能正确处理改造过CMP专属Telnet连线。这使得攻击者可以传送经改造过的CMP专属Telnet指令到有漏洞的Cisco产品上,执行任意程式码,最後取得装置的所有控制权,或引发受害装置重新载入恶意程式码。
雪上加霜的是,受害的交换机产品预设执行CMP专属Telnet,在没有下达丛集组态指令时依旧会处理Telnet流量。无论是IPv4或IPv6连线上建立的Telnet通讯可能开采这款漏洞。而且该漏洞目前也还没有修补程式。
所幸只有和装置建立Telnet通讯时才会发生攻击,关闭进入的Telnet流量就能自保。在完成修补之前,思科呼吁使用者关闭Telnet,改使用SSH通讯。无法或不愿关闭Telnet协定者可建立基础架构存取控制表(iACL)强化流量控管。
总共受影响的300多台产品包括Catalyst交换机、工业用乙太网路交换机及嵌入式服务,下图为受影响的部份装置列表(来源:Cisco),详细受影响的产品列表于此。
维基解密三月初在名为Vault 7的行动中,公布8000多份文件,显示CIA发展及购买各种骇客工具、各种恶意程式、攻击手法用来入侵欧美公司的产品,包括iPhone、Android手机、Windows PC、三星智慧电视及思科产品。
虽然维基解密创办人Julian Assange曾表示要协助苹果、Google等厂商修补漏洞,但媒体报导,该组织迄今没有什麽实质行动。
