思科方面称300余个型号的Catalyst交换机存在着安全漏洞。
最近维基解密网站(WikiLeaks)披露了美国中情局(CIA)利用的安全漏洞,文件中披露了思科广泛部署的IOS软件存在一个安全漏洞,这促使这家公司对其Catalyst网络产品客户发布了重大预警。
该安全漏洞影响300多个型号的思科Catalyst交换机,从型号2350-48TD-S交换机到思科SM-X Layer 2/3 EtherSwitch Service Module,无一幸免。这个漏洞让攻击者得以重新装载受影响的设备,或者远程执行代码、接管设备。
具体来说,该安全漏洞存在于集群管理协议(Cluster Management Protocol)中,该协议使用Telnet作为集群成员之间的一种信令和指挥协议。思科声称,该安全漏洞归咎于结合了两个因素:
- 未能限制专门针对CMP的Telnet选项仅用于集群成员之间的内部本地通信,而是通过与受影响设备相连的任何Telnet连接,接受和处理这种选项,
- 以及不正确地处理专门针对CMP的畸形的Telnet选项。
思科提到这一披露以及与所谓的Vault 7CIA文件之间的关系时这样写道:
“从‘Vault 7’公开披露的内容来看,思科对有可能受到诸如此类的安全隐患和漏洞影响的产品展开了调查。作为针对自身产品和公开信息的内部调查的一部分,思科的安全研究人员发现了思科IOS和思科IOS XE软件中的集群管理协议代码存在着一个安全漏洞,该漏洞可能会让未通过验证的远程攻击者得以重新装载受影响的设备,或者以提升的权限远程执行代码。”
就需要考虑的缓解措施而言,禁用Telnet协议这种入站连接的被允许协议将消除这个攻击途径。思科建议用户禁用Telnet和使用SSH。无力或不愿禁用Telnet的客户可以实施基础设施访问控制列表(iACL),以此减小攻击面。
思科写道,没有任何变通方法可以解决这个安全漏洞,但是禁用Telnet协议和使用SSH作为入站连接的被允许协议有望消除这个攻击途径。可以在思科的《思科IOS设备加固指南》上找到关于这两方面的信息。
思科在博客(http://blogs.cisco.com/security/the-wikileaks-vault-7-leak-what-we-know-so-far)中写道,由于维基解密网站没有透露最初公布的Vault 7文件中提到的工具或恶意软件,思科可以采取的行动的范围很有限。我们能做的,过去一直在做的,将来会继续做的就是,积极分析已经披露的文件。从初步分析已披露文件的结果来看:
- 确实存在似乎会攻击不同类型和系列的思科设备的恶意软件,包括多个路由器和交换机系列。
- 该恶意软件一旦安装到思科设备上,似乎会提供一系列功能:收集数据、外泄数据、以管理员权限执行命令(并不将执行的这类命令记入任何日志)、HTML流量重定向、操纵和篡改(将HTML代码插入到网页上)、DNS中毒(DNS poisoning)、建立隐蔽的隧道及其他功能。
- 恶意软件的开发者花了大量的时间来确保这些工具一旦安装上去,就企图在设备本身上隐藏起来,不被检测和取证分析机制发现。
- 恶意软件的开发者还似乎在质量保证测试方面下了很大的工夫――以便确保一旦安装,该恶意软件不会引起设备崩溃或行为异常。
今年3月份,维基解密网站发布了8700多份文件,声称这些文件来自美国中情局的网络情报中心。发布的一些文件描述了这家间谍机构如何利用恶意软件和黑客工具来攻击iPhone和智能电视。其他文件详尽地描述了中情局试图攻破Windows、苹果的OS X、Linux及路由器。
