4月7日，據(jù)外媒報道，一個名為“JHT”的黑客組織在本周五利用 Cisco（思科） CVE-2018-0171 （遠程代碼執(zhí)行漏洞）攻擊了俄羅斯和伊朗兩國的網(wǎng)絡基礎設施，進而波及了兩國的 ISP（互聯(lián)網(wǎng)服務提供商）、數(shù)據(jù)中心以及某些網(wǎng)站。

據(jù)雷鋒網(wǎng)了解，CVE-2018-0171是2018年3月28日，Cisco發(fā)布的一個遠程代碼執(zhí)行漏洞，其為思科IOS和IOS-XE系統(tǒng)的配置管理類協(xié)議Cisco Smart Install（Cisco私有協(xié)議）代碼中存在的一處緩沖區(qū)棧溢出漏洞。攻擊者無需用戶驗證即可向遠端Cisco設備的 TCP 4786 端口發(fā)送精心構造的惡意數(shù)據(jù)包，觸發(fā)漏洞造成設備遠程執(zhí)行Cisco系統(tǒng)命令或拒絕服務（DoS）。

而此次攻擊主要利用了Cisco Smart Install Client（思科智能安裝客戶端）軟件中的安全漏洞。利用上述漏洞攻擊 Cisco 路由器后，路由器的配置文件 startup-config 被覆蓋，路由器將重新啟動。除了導致網(wǎng)絡中斷，黑客還在受影響的機器上留了言，表示他們厭倦了政府支持黑客對美國和其它國家的攻擊，警告說“不要干擾我們的選舉”，并附有美國國旗的圖案。

網(wǎng)絡安全公司卡巴斯基在一篇博文中表示，攻擊本身并不復雜，水平一般的黑客也很容易做到。

據(jù)路透社報道，伊朗通信和信息技術部稱，全球超過20萬臺路由器受到此次攻擊的影響，其中伊朗有3500臺受影響設備。伊朗信息通信技術部長Mohammad Javad Azari-Jahromi則公開表示，攻擊主要影響的是歐洲、印度和美國。目前受影響的伊朗路由器中95％已恢復正常服務。

有趣的是，黑客表示他們曾掃描了許多國家的網(wǎng)絡以查找易受攻擊的系統(tǒng)，包括英國、美國和加拿大，但只是“攻擊”了俄羅斯和伊朗，對于提醒美、英等國路由器設備上存在漏洞問題“居功至偉”。

雷鋒網(wǎng)VIAbleepingcomputer

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。