零日漏洞导致近 20 万台思科设备暴露

上周，思科（Cisco）与网络安全机构就一场攻击活动发出警报：某 “高级威胁行为者” 正利用此前未被发现的思科高危漏洞发起持续攻击。借助这些漏洞，攻击者可实现权限提升，并以 “根用户（root）” 身份在防火墙设备上执行远程代码。

网络安全搜索引擎 Censys警告称，其检测到 192,038 台可通过互联网访问的思科路由器与交换机（运行 IOS 或 IOS XE 系统）暴露在外，且这些设备均启用了 SNMP（简单网络管理协议，Simple Network Management Protocol）服务。

Censys 在安全公告中表示：“我们建议立即排查所有启用 SNMP 服务的设备，确认其是否已安装补丁或采取缓解措施。鉴于该漏洞的高危属性及当前正被利用的现状，相关处置工作需紧急推进。”

上周，思科披露了其产品线中存在的多个高危漏洞，涉及 SNMP 服务及思科安全防火墙产品（包括自适应安全设备 Adaptive Security Appliance、思科安全防火墙威胁防御系统 Cisco Secure Firewall Threat Defense 等软件）。

SNMP 协议主要用于设备的远程管理与监控。此次发现的漏洞可被已通过远程认证的攻击者滥用：根据攻击者拥有的权限不同，其可通过漏洞导致设备 “拒绝服务（DoS）”，或直接以根用户身份执行远程代码。

尽管思科防火墙中的漏洞风险等级更高，但暴露在外的 SNMP 服务可通过外部扫描轻易被发现 —— 攻击者也能借助物联网（IoT）搜索引擎，轻松定位到这些暴露的服务。

此次特定的 SNMP 漏洞影响范围包括未打补丁的思科 IOS 及 IOS XE 软件，涉及的硬件设备包括思科 Catalyst 9300 系列交换机与 Meraki MS390 交换机。且该漏洞对所有旧版本的 SNMP 协议均存在影响。

美国网络安全与基础设施安全局（CISA）上周发布指令，强制要求各政府机构在24 小时内为相关设备安装补丁。

CISA 上周指出：“此次攻击活动波及范围广泛，给目标网络带来重大风险。”

目前，思科已发布紧急软件更新以修复上述漏洞，且暂无其他可替代的临时缓解方案（即除安装官方补丁外，无其他办法规避漏洞风险）。

消息来源：cybernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；