思科近日發(fā)布新安全公告稱,攻擊者可通過思科IOS設(shè)備上傳ROMMON(IOS引導(dǎo)程序)鏡像獲取整臺(tái)設(shè)備的控制權(quán)限�����。然而令人尷尬的是��,這枚思科官方發(fā)布的安全預(yù)警未被CVE認(rèn)可����。
漏洞成因
ROMMON一般用于初始化思科IOS(它可以算是加載系統(tǒng)的小系統(tǒng))�,通常被網(wǎng)絡(luò)工程師用做鏡像恢復(fù)、一些特殊參數(shù)配置��。當(dāng)攻擊者將它替換成惡意變更過的程序后��,可獲得該設(shè)備的最高權(quán)限����。
在思科捕獲到的實(shí)際案例中,攻擊者是通過獲取有效的管理認(rèn)證信息來訪問思科設(shè)備的�,期間他們并沒有利用任何漏洞。于是專家推測(cè)��,他們是獲取了管理認(rèn)證后開始攻擊�����,并上傳安裝了惡意ROMMON鏡像�。
思科公告表示:
思科應(yīng)急響應(yīng)中心(PSIRT)已經(jīng)告知了客戶這個(gè)漏洞,在觀察了一部分攻擊案例后�,他們總結(jié)出攻擊者會(huì)在獲取管理權(quán)限或者物理訪問權(quán)限后,將思科IOS ROMMON進(jìn)行替換�����,然后上傳安裝一個(gè)惡意ROMMON鏡像。
CVE并不認(rèn)可…
由于手動(dòng)安裝升級(jí)的ROMMON是一種標(biāo)準(zhǔn)的��、文檔化的特性��,這是為了網(wǎng)管能更便捷地管理網(wǎng)絡(luò)�����。所以盡管思科“自曝”漏洞�����,但CVE拒絕給予漏洞編號(hào)�。這就很尷尬了���,這種做法沒有被CVE認(rèn)可�。但大家需要注意的是��,這種攻擊手法確實(shí)能應(yīng)用到大部分網(wǎng)絡(luò)設(shè)備上去�����,不僅僅是思科����。
企業(yè)通訊
