快捷搜索:
您的位置:bv1946伟德入口 > 互联网 > 思科交换机的新漏洞恐引起新一轮全球扫描,悬

思科交换机的新漏洞恐引起新一轮全球扫描,悬

2019-09-23 10:49

原标题:悬镜安全 | 第七期 全球一周安全情报(0903-0909)

按照思科的惯例,他们会在每年的3月和9月披露Cisco IOS和Cisco IOS-XE操作系统中存在的安全漏洞。思科于上周六发布的IOS及IOS XE软件安全公告共包含了20项安全更新咨询,涉及22个安全漏洞。其中有3个漏洞的安全影响评级(SIR)为“关键(Critical)”,剩余的19个均为“高(High)”。

图片 1

纵观全球态势,感知安全天下。悬镜安全精心筛选过去一周全球安全大事。

思科表示,成功利用这些漏洞可能允许攻击者未经授权访问受影响的设备、获得受影响设备的管理员权限、执行任意代码或发起拒绝服务(DoS)攻击。

一种新的攻击悄无声息地出现在公司门户上。安全研究人员说,攻击者通过感染思科公司所出售的一个虚拟专用网络产品来收集用户名和用于登录到公司网络密码的后门。

近期,思科修复了旗下明星产品——Cisco Small Business 220系列智能交换机上的三个高危漏洞。

1、3D打印机遭受远程攻击

被认为潜在威胁最大的漏洞被标识为CVE-2018-0171,也就是前面提到的3个关键漏洞中的一个,可能会威胁到到超过数百万台网络设备(主要是路由器和交换机)的安全。

安全公司volexity的研究员说,他发现一些成功感染思科客户端SSL VPN的案例,可能还有更多。这些攻击中大概至少使用了2个单独入口点。一旦后门设置好,就只需要静静等待它收集员工登录凭证。

这三个漏洞分别是身份验证(CVE-2019-1912,评级为致命,评分为9.1)、远程命令(CVE-2019-1913,评级为致命,评分为9.8)和命令 (CVE-2019-1914,评级为中等,评分为7.2)。

据外媒报道,SANS ISC研究员Richard和Xavier检查了曝露在公网的3D打印机OctoPrint接口,发现其中超过3700个无需身份验证即可直接访问。OctoPrint是一款免费的开源Web界面,与大多数消费级3D打印机兼容,用户可以使用它通过浏览器控制并监控3D打印机的行为。但是,无需身份验证的话,意味着随机攻击者也可以这么做。

缓冲区堆栈溢出漏洞CVE-2018-0171

思科网络VPN

这三个漏洞中,前两个最为危险,因为攻击者可以利用它们在不经过身份验证的情况进行远程攻击。考虑到思科刚刚才公布漏洞,现公网上任意思科220系列智能交换机都有可能受到攻击。

图片 2

思科在发布安全公告的同时也公开致谢了 GeekPwn(国际安全极客大赛),因为其中的一些漏洞是由参加去年5月GeekPwn香港站的安全研究人员发现并提交的。

思科无客户端SSL VPN(Web VPN)是一个基于Web的门户网站,可以应用在公司的Cisco自适应安全设备(ASA)上。思科网络VPN不需要客户端,它完全是通过最终用户的浏览器访问。一旦用户通过认证,基于web的VPN就会允许用户访问内部网页、内部文件并允许他们通过Telnet、SSH Web或类似的网络协议连接到其他内部资源。普通用户可以通过类似图1显示的思科网络VPN接口进入。

在今天发布的一份安全建议中,思科表示,攻击者可以利用身份验证绕过漏洞,将文件非法上传到思科220交换机上。攻击者可借此直接替换配置文件,或者植入一个反向shell。

原文链接:

CVE-2018-0171就是其中的一个,它是由来自俄罗斯安全公司Embedi的安全研究员 George Nosenko发现的。Nosenko也凭借发现这个漏洞摘得了此次大赛的“最佳技术奖”,并赢得了总计25 万元的奖金。

图片 3

第二个漏洞(也是这三个漏洞中最危险的一个)可让攻击者以root权限执行任意命令,彻底接管设备。而且这只需要简单的HTTP或HTTPS交互即可实现。

2、CISCO发布30项安全补丁

Nosenko表示,他在IOS 和 IOS-XE 系统 Smart Install Client 代码中发现了一个缓冲区堆栈溢出漏洞。成功利用这个漏洞可允许攻击者对设备发起拒绝服务(DoS)攻击,或在未经身份验证的情况下远程执行任意代码,这意味着攻击者可以通过利用这个漏洞来获得对受影响设备的完全控制权限。

volexity研究人员在博客上写到:

安全补丁和防御措施

思科发布了30项安全补丁以解决其产品中总共32个安全漏洞。其中三个为严重漏洞:Apache Struts远程执行代码漏洞(CVE-2018-11776)、Cisco Umbrella API未经授权的访问漏洞(CVE-2018-0435)以及Cisco路由器管理接口缓冲区溢出漏洞(CVE-2018-0423)。

Smart Install 是IOS 和 IOS-XE 系统下的一个交换机智能部署功能,可用于快速部署新的交换机,这会涉及到使用交换机的TCP 4786端口,而攻击者则可以通过远程向这个端口发送一个恶意数据包来触发这个漏洞。

“这肯定不是你希望攻击者能获得访问的,”“不幸的是,我们发现一些公司已经偷偷地被攻击了。”

好消息是,这三个漏洞都是基于交换机的web管理界面。所以设备管理者可以通过直接关闭web管理界面临时防御攻击,当然,最好还是及时安装思科发布的官方补丁。

图片 4

850万台设备存在易受攻击的TCP端口

研究人员在一个公司发现思科所出售的秘密攻击网络路由器。这种路由器后门已被安装在至少79个设备上。恶意软件可以支持多达100个模块,攻击者可远程控制那些被感染的设备。

在思科发布的Cisco Small Business 220系列智能交换机固件版本1.1.4.4中已修复了这三个bug。据思科自己的说法,之前的所有版本都存在被攻击风险。

另外29个漏洞中,有14个被评为高,15个被评为中等严重,解决了Cisco Routers,Cisco Webex,Cisco Umbrella,思科SD-WAN解决方案,思科云服务平台,思科数据中心网络等产品的安全漏洞。该公司产品安全事件响应小组称Apache Struts正在被开发中使用,但另外两个严重漏洞目前没有被利用。

Embedi公司最初认为该漏洞只能在企业网络的内部被利用,因为在安全配置的网络中,攻击者并不能通过互联网访问到Smart Install功能。

不过安装在Cisco VPN的后门,相比之下还不完善。它只是将恶意的JavaScript代码加载到员工登陆的网页。不过因为JavaScript托管在外部网站而且又通过HTTPS加密连接访问,其隐蔽性还是相对较强。

思科宣称是物联网网络安全公司VDOO发现并报告了这三个漏洞。但在撰写本文时,VDOO还没有发布任何PoC或漏洞技术细节。

原文链接:

不过,在Embedi最近做了一次短暂的扫描后发现,大约有25万台易受攻击的设备以及 850 万配备有TCP 4786端口的设备在线暴露。

cve-2014-3393漏洞利用

有兴趣的安全研究人员可自行对思科路由器的固件进行逆向,说不定能发现这三个漏洞的利用方法。

3、Python安装时会触发恶意代码

Embedi表示,这是一个很危险的现状。导致这种情况的出现很大可能来源于TCP 4786端口在默认情况下是敞开的,而许多网络管理员并没有注意到这一点。

研究人员说,后门安装至少通过两个不同的切入点。首先是利用出现在客户端SSL VPN的一个大漏洞。另一个则是攻击者通过其他手段获取管理员访问并使用它来加载恶意代码。

考虑到思科是当今互联网设备的领头公司之一,预计在不久的将来,将有不少攻击者将这三个漏洞包装成攻击工具,对全球进行扫描。据跟踪僵尸网络活动和恶意网络扫描的网络安全公司Bad packages的说法,在每周都有不少针对思科设备的恶意扫描。

Python语言允许用户安装包含在程序中的扩展包以拓展功能。执行程序时,安装包中的代码将按预期执行。但是,很多人都并不知道部分代码也可以作为扩展包本身在安装时直接执行。

事实上,现在很多思科路由器和交换机都支持Smart Install功能。如果Embedi的猜测是正确的,那么攻击者便能够很容易利用一些搜索引擎(如Shodan)发现这些易受攻击的设备,并对设备发起攻击。

Volexity发现早在2014年11月思科网络VPN登录页面就开始被滥用了。黑客利用cve-2014-3393——思科无客户端SSL VPN中的一个漏洞进行他们的坏动作。这个漏洞最初是由Alec Stuart-Muirk报道出来并在2014年10月思科获知后还发布了一个关于这个漏洞的开发通知。

图片 5

图片 6

在思科发布安全补丁之后,Embedi已经公布了该漏洞的概念验证代码。因此,各位网络管理员的当务之急是验证自己的设备是否受到该漏洞的影响并尽快安装补丁。

这个漏洞允许未经身份验证的远程攻击者随意修改SSL VPN门户的内容,进行攻击窃取凭据、跨站脚本攻击(XSS)以及其他Web攻击。

为了彻底防御住这种攻击,每个企业的网络管理员最好能尽快摸清旗下相关思科设备,打上安全补丁。

GitHub上一位名为mschwager的研究人员演示了一种攻击方法,该方法使用Python模块中的“setup.py”文件,以便在安装包时执行代码。使用此方法,攻击者可以将恶意代码放入可以使用root权限执行的程序包中,但并非所有程序包都需要此级别的权限。

有哪些设备受到CVE-2018-0171漏洞的影响

由于SSL VPN门户定制框架的认证检查的操作不当导致出现这个漏洞。攻击者可以利用这个漏洞修改一些特定对象的RAMFS缓存文件系统。

原文链接:

图片 7

受感染的组织中有智囊团、大学和学术机构、跨国电子产品制造商和非政府组织。为了逃避检测,文件1.js(恶意的JavaScript)被托管在一个非政府组织的网站,该网站还利用一个有效的SSL证书,这让所有的通信加密。文件1.js是一个在线脚本称为“xss.js”,旨在窃取数据。这些网站事先被攻击破坏了,再将HTML IFRAME标签插入到被破坏的VPN网页。然后VPN就会连接到被攻击的非政府组织网站,通过加密连接下载JavaScript。

4、Opsview监视器中存在多个漏洞

根据思科发布的公告显示,影响该漏洞影响的设备主要包括:

图片 8

Opsview Monitor是一种用于网络和应用程序的专有IT监控软件,研究人员披露了一系列漏洞,这些漏洞可以实现远程代码执行,命令执行和本地权限提升,包括CVE-2018-1614和CVE-2018-16147、CVE-2018-16146、CVE-2018-16144、CVE-2018-16145。CVE-2018-16148和CVE-2018-16147都是跨站点脚本漏洞,可以滥用来在合法用户的上下文中执行恶意Java代码;CVE-2018-16146和CVE-2018-16144可以使攻击者能够作为Nagios用户在系统上执行命令。

1、Catalyst 4500 Supervisor Engines

锁定日本政府和高技术产业

图片 9

2、Cisco Catalyst 3850 Series Switches

Volexity发现其中日本政府和高新技术产业很多都受到了攻击。多个日本的组织被破坏了而且其思科网络VPN门户被加载了额外的JavaScript代码。

CVE-2018-16145是一个脚本修改漏洞,可能允许本地特权升级。这些漏洞影响Opsview Monitor4.2、5.3和5.4版本,已经更新了5.3.1、5.4.2和6.0版本进行了修补。

3、Cisco Catalyst 2960 Series Switches

图片 10

原文链接:

此外,具备Smart Install Client的设备也可能受到影响:

在这些攻击中的JavaScript链接到一个称为scanbox的恶意软件。Scanbox经常被用来收集关于用户的信息访问受感染的网站。特别的是,通过收集用户浏览器和软件安装的信息,该软件会对目标和特定的软件进行攻击。当一个员工正在访问他们的Web VPN时 Scanbox还会捕获击键和Cookie数据。

5、SSL证书暴露Tor站点的公共IP地址

1、Catalyst 4500 Supervisor Engines

图片 11

安全研究人员发现了一种方法,可以轻松识别配置错误的暗网Web服务器的公共IP地址。在Tor上设置暗网的主要目的之一是难以识别网站的拥有者。为了正确匿名化暗网,管理员必须正确配置Web服务器,使其仅侦听localhost(127.0.0.1)。

2、Catalyst 3850 Series

图片 12

图片 13

3、Catalyst 3750 Series

图片 14

研究人员发现有许多Tor站点使用SSL证书,为了通过Internet访问,误配置了隐藏服务,用本地Apache或Nginx服务器监听任何IP地址。研究人员称这种情况很常见。当Tor隐藏服务的运营商向其站点添加SSL证书时,它们将.onion域与证书相关联。

4、Catalyst 3650 Series

图中代码只是显示了一小部分的Scanbox键盘记录插件。而日本政府和高技术产业的思科网络VPN的Scanbox代码是用来记录用户访问服务记录。

如果Tor站点配置错误以便侦听公共IP地址,则包含.onion域的相同证书也将用于该IP地址。一些用户认为该研究是对Tor的攻击,但研究人员称只是试图揭示与未正确配置Tor隐藏服务相关的固有问题。

5、Catalyst 3560 Series

结论

原文链接:

6、Catalyst 2960 Series

攻击者正在不断寻找新的方法通过网络的漏洞获取利益,这个问题不仅仅是思科网络VPN。任何其他的VPN,Web服务器,或设备都有一定的风险。

6、Wireshark三个DoS漏洞已出现

7、Catalyst 2975 Series

【编辑推荐】

Wireshark是世界上最受欢迎的网络协议分析仪。该软件是免费和开源的。研究人员发现Wireshark存在三个严重漏洞:CVE-2018-16056、CVE-2018-16057和CVE-2018-16058,影响Wireshark的三个组件:蓝牙属性协议(ATT)解剖器,Radiotap剖析器和音频/视频分发传输协议(AVDTP)解剖器。研究人员称可以公开获得每个漏洞的概念验证(PoC)的利用代码。

8、IE 2000

图片 15

9、IE 3000

攻击者可以通过将格式错误的数据包注入网络、受影响的应用程序处理、或者诱使目标用户打开恶意数据包跟踪文件来利用这三个漏洞。

10、IE 3010

原文链接:

11、IE 4000

悬镜,北京安普诺信息技术有限公司旗下基于DevSecOps【云 端】一站式安全加固解决方案的云主机安全品牌,由北京大学白帽黑客团队“Xmirror”主导创立,核心业务主要包括悬镜云卫士、云鉴漏洞扫描云平台等自主创新产品与政企安全服务,专注为媒体云、政务云、教育云等平台用户提供创新灵活的自适应主机安全综合解决方案。返回搜狐,查看更多

12、IE 4010

责任编辑:

13、IE 5000

14、SM-ES2 SKUs

15、SM-ES3 SKUs

16、NME-16ES-1G-P

17、SM-X-ES3 SKUs

如何确认自己的设备受否易遭受攻击

首先,需要确认设备是否开启了TCP 4786端口,比如采用nmap(网络连接端扫描软件)扫描目标设备端口:

nmap -p T:4786 192.168.1.0/24

然后,可以通过以下命令来确认是否开启了Smart Install Client功能:

switch>show vstack config

Role: Client (SmartInstall enabled)

Vstack Director IP address: 0.0.0.0

switch>show tcp brief all

TCB Local Address Foreign Address (state)

0344B794 *.4786 *.* LISTEN

0350A018 *.443 *.* LISTEN

03293634 *.443 *.* LISTEN

03292D9C *.80 *.* LISTEN

03292504 *.80 *.* LISTEN

其余漏洞同样会影响到多个方面

根据思科安全公告的内容来看,在22漏洞中,有11个会影响到Cisco IOS和Cisco IOS XE软件。其中一个漏洞同时影响到Cisco IOS、Cisco IOS XE、和Cisco IOS XR软件,两个仅影响Cisco IOS软件,8个影响Cisco IOS XE软件,而只有Cisco NX-OS软件不受任何漏洞影响。

另外,这些漏洞存在于不同的功能和特性中,具体如下:

1、双向转发检测(BFD)

2、Cisco Umbrella集成

3、命令行界面(CLI)

4、动态主机控制协议(DHCP)

5、面向VPN的集成多业务模块(ISM-VPN)

6、互联网组管理协议(IGMP)

7、互联网密钥交换(IKE)

8、互联网协议(IP)

9、链路层发布协议(LLDP)

10、服务质量(QoS)

11、简单网络管理协议(SNMP)

12、智能安装(SMI)

13、基于Web的用户界面(web UI)

14、基于区域的防火墙(ZBF)

下表列出了所有漏洞的基本信息,关于漏洞的具体细节可以通过思科发布的安全公告进行查看:

图片 16

本文由bv1946伟德入口发布于互联网,转载请注明出处:思科交换机的新漏洞恐引起新一轮全球扫描,悬

关键词: