上周，俄罗斯和伊朗多个网络基础设施遭到攻击，攻击涉及全球200000只路由器交换机，包括伊朗的3500只交换机。攻击者疑似利用了思科IOS/IOS XE远程代码执行漏洞cve-2018-0171。而就在今天，国内多个机构遭受同样的攻击。根据国外的案例，遭受攻击的企业，除了设备瘫痪之外，屏幕上还显示出美国国旗。

FreeBuf曾报告过这个漏洞的详细分析，是Embedi 安全公司研究员在 Smart Install Client 代码中发现一个缓冲区堆栈溢出漏洞。攻击者利用这个漏洞可以不经身份验证远程执行任意代码。也就是说，攻击者能够完全控制受漏洞影响的网络设备。

在思科发布漏洞预警之时，全球受影响的设备高达850万，当然也包括国内。

根据俄罗斯和伊朗所遭受攻击的情况了来看， 黑客攻击导致设备瘫痪之后，还留下了字条称：“不要干涉我们的选举”，同时还附上美国国旗。

根据外媒Motherboard报道， 黑客通过控制的电子邮件阐述了此次攻击的目的：我们厌倦了有政府支持的针对美国或者其他国家的网络攻击。甚至还略带自豪的表示：“多亏我们的努力，很多国家已经没有易受攻击的设备了”。

专家推测，这次大范围的网络攻击应该是由民间发起，以此来表示对俄罗斯干涉美国大选的不满。

就在今天，多个用户在社交媒体上表示自己公司纷纷中招。借此提醒国内其他厂商和机构尽快打好补丁，降低风险。

受漏洞影响的软硬件

经验证存在漏洞的设备包括：Catalyst 4500Supervisor Engines、Cisco Catalyst 3850 SeriesSwitches 和 CiscoCatalyst 2960 Series Switches。

Cisco Catalyst 4500 SupervisorEngine 6L-E

Cisco IOS 15.2.2E6 (Latest,Suggested)

cat4500e-entservicesk9-mz.152-2.E6.bin(23-DEC-2016)

Cisco Catalyst 2960-48TT-L Switch

Cisco IOS 12.2(55)SE11 (Suggested)

c2960-lanbasek9-mz.122-55.SE11.bin(18-AUG-2016)

Cisco IOS 15.0.2-SE10a (Latest)

c2960-lanbasek9-mz.150-2.SE10a.bin(10-NOV-2016)

Cisco Catalyst 3850-24P-E Switch

Cisco IOS-XE 03.03.05.SE

cat3k_caa-universalk9.SPA.03.03.05.SE.150-1.EZ5.bin(03-NOV-2014)

此外，所有具备 Smart Install Client 的设备都可能受到漏洞影响，包括下列：

Catalyst 4500 Supervisor Engines

Catalyst 3850 Series

Catalyst 3750 Series

Catalyst 3650 Series

Catalyst 3560 Series

Catalyst 2960 Series

Catalyst 2975 Series

IE 2000

IE 3000

IE 3010

IE 4000

IE 4010

IE 5000

SM-ES2 SKUs

SM-ES3 SKUs

NME-16ES-1G-P

SM-X-ES3 SKUs

关于该漏洞的更多信息，可查看FreeBuf之前的内容：

思科Smart Install的远程代码执行漏洞（CVE-2018-0171）详细分析

http://www.freebuf.com/articles/network/166757.html

随着全球范围内不断出现该漏洞的攻击事件，多数企业已经意识到风险， 提前解决了隐患， 受影响的思科设备也大幅减小。

扫一扫或点击进入“上海奥航智能科技有限公司”官网：www.aohsmart.com                                扫一扫或点击进入“中国移动安全信息网”：cn-mobi.com                   

免责声明：本文仅代表作者个人观点，与www.smart-alliance.com网站无关。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。