HackerNews 编译,转载请注明出处:
上周,思科(Cisco)与网络安全机构就一场攻击活动发出警报:某 “高级威胁行为者” 正利用此前未被发现的思科高危漏洞发起持续攻击。借助这些漏洞,攻击者可实现权限提升,并以 “根用户(root)” 身份在防火墙设备上执行远程代码。
网络安全搜索引擎 Censys警告称,其检测到 192,038 台可通过互联网访问的思科路由器与交换机(运行 IOS 或 IOS XE 系统)暴露在外,且这些设备均启用了 SNMP(简单网络管理协议,Simple Network Management Protocol)服务。
Censys 在安全公告中表示:“我们建议立即排查所有启用 SNMP 服务的设备,确认其是否已安装补丁或采取缓解措施。鉴于该漏洞的高危属性及当前正被利用的现状,相关处置工作需紧急推进。”
上周,思科披露了其产品线中存在的多个高危漏洞,涉及 SNMP 服务及思科安全防火墙产品(包括自适应安全设备 Adaptive Security Appliance、思科安全防火墙威胁防御系统 Cisco Secure Firewall Threat Defense 等软件)。
SNMP 协议主要用于设备的远程管理与监控。此次发现的漏洞可被已通过远程认证的攻击者滥用:根据攻击者拥有的权限不同,其可通过漏洞导致设备 “拒绝服务(DoS)”,或直接以根用户身份执行远程代码。
尽管思科防火墙中的漏洞风险等级更高,但暴露在外的 SNMP 服务可通过外部扫描轻易被发现 —— 攻击者也能借助物联网(IoT)搜索引擎,轻松定位到这些暴露的服务。
此次特定的 SNMP 漏洞影响范围包括未打补丁的思科 IOS 及 IOS XE 软件,涉及的硬件设备包括思科 Catalyst 9300 系列交换机与 Meraki MS390 交换机。且该漏洞对所有旧版本的 SNMP 协议均存在影响。
美国网络安全与基础设施安全局(CISA)上周发布指令,强制要求各政府机构在24 小时内为相关设备安装补丁。
CISA 上周指出:“此次攻击活动波及范围广泛,给目标网络带来重大风险。”
目前,思科已发布紧急软件更新以修复上述漏洞,且暂无其他可替代的临时缓解方案(即除安装官方补丁外,无其他办法规避漏洞风险)。
消息来源:cybernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
