4月7日, 据外媒报道, 一个名为 'JHT' 的黑客组织在本周五利用 Cisco (思科) CVE-2018-0171 (远程代码执行漏洞) 攻击了俄罗斯和伊朗两国的网络基础设施, 进而波及了两国的 ISP (互联网服务提供商) , 数据中心以及某些网站.
据雷锋网了解, CVE-2018-0171是2018年3月28日, Cisco发布的一个远程代码执行漏洞, 其为思科IOS和IOS-XE系统的配置管理类协议Cisco Smart Install (Cisco私有协议) 代码中存在的一处缓冲区栈溢出漏洞. 攻击者无需用户验证即可向远端Cisco设备的 TCP 4786 端口发送精心构造的恶意数据包, 触发漏洞造成设备远程执行Cisco系统命令或拒绝服务 (DoS) .
而此次攻击主要利用了Cisco Smart Install Client (思科智能安装客户端) 软件中的安全漏洞. 利用上述漏洞攻击 Cisco 路由器后, 路由器的配置文件 startup-config 被覆盖, 路由器将重新启动. 除了导致网络中断, 黑客还在受影响的机器上留了言, 表示他们厌倦了政府支持黑客对美国和其它国家的攻击, 警告说 '不要干扰我们的选举' , 并附有美国国旗的图案.
网络安全公司卡巴斯基在一篇博文中表示, 攻击本身并不复杂, 水平一般的黑客也很容易做到.
据路透社报道, 伊朗通信和信息技术部称, 全球超过20万台路由器受到此次攻击的影响, 其中伊朗有3500台受影响设备. 伊朗信息通信技术部长Mohammad Javad Azari-Jahromi则公开表示, 攻击主要影响的是欧洲, 印度和美国. 目前受影响的伊朗路由器中95% 已恢复正常服务.
有趣的是, 黑客表示他们曾扫描了许多国家的网络以查找易受攻击的系统, 包括英国, 美国和加拿大, 但只是 '攻击' 了俄罗斯和伊朗, 对于提醒美, 英等国路由器设备上存在漏洞问题 '居功至伟' .
