思科交換機被曝存嚴重安全漏洞

文/鄭先偉

3月底思科交換機的IOS及IOS XE系統被曝出存在一個遠程代碼執行漏洞（CVE-2018-0171），該漏洞允許攻擊者向有問題的交換機的TCP 4786端口（默認開啟）發送特制的攻擊數據包來進行攻擊，一旦攻擊成功攻擊者便可遠程控制相應交換機。該漏洞信息公布不久，對應的攻擊程序也在網絡上被發布。4月第一周我們開始在教育網流量中檢測到大量針對該漏洞的掃描及攻擊數據，但隨后的幾周里類似的掃描和攻擊數量則呈直線下降的趨勢。出現這種結果可能是因為攻擊者通過第一周的掃描和攻擊已經基本掌握了網絡上相關問題交換機的信息，并且可能已經獲取了部分有漏洞交換機的控制權限，所以無需在進行掃描了。另外4月的網絡流量中仍然能檢測到大量的Memcache反射放大攻擊的流量，但是單次攻擊的流量規模相比之前的要降低很多，隨著各大型的云服務商對Memcache服務的加強管理，這類攻擊的可利用反射放大源正在逐漸減少。

安全投訴事件整體數量較為平穩。

近期沒有新增影響特別廣泛的蠕蟲病毒。思科交換機的攻擊代碼雖然會自主攻擊，但是并未發現其包含有傳播的功能，因此未被定義到病毒和木馬范疇中。

2018年3～4月安全投訴事件統計

近期新增嚴重漏洞評述：

1.微軟2018年4月的安全公告修補了其多款產品存在的227個安全漏洞。受影響的產品包括Windows 10 v1709（28個）、Windows 10 v1703（28個）、Windows 10 v1607 and WindowsServer 2016（27個）等。用戶應該盡快使用Windows自帶的Update功能進行更新。

2.Drupal是一個由Dries Buytaert創立的自由開源的內容管理系統，用PHP語言寫成。Drupal在業界常被視為內容管理框架，而不是簡單的內容管理系統，基于它的框架會進行大量的二次開發。3月底Drupal 6、7、8多個子版本被曝出存在遠程代碼執行漏洞，官方也在隨后發布的新版本中修補了該漏洞。但不久就有安全研究者發現官方發布的新版本并不能完全解決上述安全問題，攻擊者仍然可以采用一些方法來繞過補丁限制去利用相關漏洞，因此4月下旬，Drupal的官方又發布了版本更新來進一步修補相關漏洞。因此對于Drupal的管理員應該盡快檢查所使用的Drupal版本是否更新到了最新，最新的版本分別是：7.59、8.5.3及8.4.8.，對于還在使用Drupal 6的用戶，建議升級到高等級的版本。更多漏洞的信息可參見Drupal的官方公告：https://www.drupal.org/sa-core-2018-004。

3.Cisco的IOS和IOS XE軟件發布本年度的安全更新，修補了系統中存在的22個安全漏洞，其中有三個屬于高危漏洞，可能導致使用Cisco IOS的網絡設備遠程被入侵控制或是拒絕服務攻擊，三個漏洞分別是：

1.Cisco IOS XE軟件靜態證書漏洞（CVE-2018-0150）；

2.Cisco IOS和IOS XE軟件服務質量遠程代碼執行漏洞（CVE-2018-0151）；

3.Cisco IOS和IOS XE Smart Install遠程代碼執行漏洞（CVE-2018-0171）。

Cisco公司的詳細安全公告請參見：https://tools.cisco.com/security/center/viewErp.x?alertId=ERP-66682。

4.Oracle發布了2018年4月的安全更新，修復了其多款產品存在的254個安全漏洞，其中139個為高危漏洞。漏洞涉及的產品包括：Oracle Database Server數據庫（2個）、電子商務套裝軟件Oracle E-Business Suite（12個）等，這些漏洞中需要特別關注的是WebLogic Server WLS核心組件反序列化漏洞（CVE-2018-2628），利用該漏洞，攻擊者可以在未經授權的情況下，遠程發送攻擊數據，通過T3協議在WebLogic Server中執行反序列化操作，反序列過程中會遠程加載RMI registry,加載回來的registry又會被反序列化執行，最終實現了遠程代碼的執行。相關產品的管理員應該盡快檢查并升級自己的軟件版本。