思科漏洞被黑客利用 全球20萬臺路由器中招

　　4月7日，據外媒報道，一個名為“JHT”的黑客組織在本周五利用 Cisco（思科） CVE-2018-0171 （遠程代碼執行漏洞）攻擊了俄羅斯和伊朗兩國的網絡基礎設施，進而波及了兩國的 ISP（互聯網服務提供商）、數據中心以及某些網站。

　　據雷鋒網了解，CVE-2018-0171是2018年3月28日，Cisco發布的一個遠程代碼執行漏洞，其為思科IOS和IOS-XE系統的配置管理類協議Cisco Smart Install（Cisco私有協議）代碼中存在的一處緩沖區棧溢出漏洞。攻擊者無需用戶驗證即可向遠端Cisco設備的 TCP 4786 端口發送精心構造的惡意數據包，觸發漏洞造成設備遠程執行Cisco系統命令或拒絕服務（DoS）。

　　而此次攻擊主要利用了Cisco Smart Install Client（思科智能安裝客戶端）軟件中的安全漏洞。利用上述漏洞攻擊 Cisco 路由器后，路由器的配置文件 startup-config 被覆蓋，路由器將重新啟動。除了導致網絡中斷，黑客還在受影響的機器上留了言，表示他們厭倦了政府支持黑客對美國和其它國家的攻擊，警告說“不要干擾我們的選舉”，并附有美國國旗的圖案。

　　網絡安全公司卡巴斯基在一篇博文中表示，攻擊本身并不復雜，水平一般的黑客也很容易做到。

　　據路透社報道，伊朗通信和信息技術部稱，全球超過20萬臺路由器受到此次攻擊的影響，其中伊朗有3500臺受影響設備。伊朗信息通信技術部長Mohammad Javad Azari-Jahromi則公開表示，攻擊主要影響的是歐洲、印度和美國。目前受影響的伊朗路由器中95％已恢復正常服務。

　　有趣的是，黑客表示他們曾掃描了許多國家的網絡以查找易受攻擊的系統，包括英國、美國和加拿大，但只是“攻擊”了俄羅斯和伊朗，對于提醒美、英等國路由器設備上存在漏洞問題“居功至偉”。