駭客濫用Cisco Smart Install協定，伊朗3500台交換器遭駭

駭客於上周針對思科的Smart Install功能發動攻擊，目前主要傳出災情的是伊朗的ISP業者與資料中心，駭客在執行Smart Install的交換器配置檔中寫下「別來攪和我們的選舉」（Do not mess with our elections），並留下美國國旗的圖樣，接著交換器便無法運作。

Smart Install為IOS平台上的隨插即用的配置既映像管理功能，可零接觸（zero-touch）部署新的思科設備，特別是交換器，客戶只要把交換器放置在特定的網路中，打開電源，無需進行配置就能運作。

思科在今年2月即曾警告，Smart Install可能會被濫用以變更TFTP伺服器設定並取得配置檔案，接著修改配置檔案，置換IOS映像，並建立帳號以執行IOS命令。迄今思科仍認為上述並非安全漏洞，而只是遭到濫用。

而上周，伊朗的通訊暨資訊部門即宣稱該國境內的3,500台交換器遭到駭客攻擊，思科亦證實此事，表示已接獲不同國家的多項攻擊報告。而根據Shodan的搜尋結果，全球因Smart Install而陷於被駭風暴中的思科裝置約為16.5萬台，其中有4.6萬台位於美國、1.2萬台位於俄羅斯，還有1萬台位於中國。

IT管理人員可輸入「show vstack config」指令來判斷交換器上的Smart Install功能是否被啟用，若答案是肯定的，只要執行「no vstack」指令就能關閉它，若缺乏此一選項，則可嚴格限制Smart Install介面的存取以避免遭到駭客開採。

思科暗示相關的攻擊行動可能來自俄羅斯，美國電腦緊急事件應變小組（United States Computer Emergency Readiness Team，US-CERT）才在3月中指責俄羅斯政府針對美國的重大基礎建設展開網路攻擊。

另一方面，駭客卻向Motherboard透露，他們已厭倦了由政府支撐的駭客於美國及其它國家所展開的攻擊行動，他們的確在全球找到許多可攻擊的系統，但此次攻擊只鎖定俄國與伊朗。目前並無法確定這是否為駭客所拋出的煙霧彈。

思科表示，迄今只觀察到駭客濫用了Smart Install功能，而未牽涉到日前所修補的CVE-2018-0171漏洞，CVE-2018-0171漏洞同樣位於Smart Install中，可能帶來遠端程式攻擊，且概念性攻擊程式亦已被發表，思科呼籲用戶在緩解Smart Install被誤用之際也應儘速修補CVE-2018-0171。