FBI警告駭客濫用思科7年前舊漏洞攻擊全球基礎架構

美國聯邦調查局（FBI）本周警告，俄羅斯駭客正濫用思科產品一個7年前的漏洞，來攻擊全球公部門及企業的基礎架構。

FBI近日偵測到和俄羅斯情治機關FSB（Federal Security Service）Center 16相關的駭客，濫用執行思科Cisco Smart Install軟體的舊式網路設備漏洞CVE-2018-0171，以及簡單網路管理協定（Simple Network Management Protocol，SNMP）來攻擊思科用戶。

CVE-2018-0171為一風險值9.8的堆疊式緩衝溢位漏洞，它位於IOS及IOS XE中的Smart Install功能中。Smart Install是安裝新交換機的組態及映像檔管理功能。問題根源在Smart Install Client未對輸入封包資料做必要驗證，使攻擊者能發送含有惡意程式碼的Smart Install訊息，引發堆疊式緩衝溢位，造成阻斷服務（denial of service，DoS）或是任意程式碼執行攻擊。

FBI去年以來偵測到攻擊者蒐集美國多個基礎架構產業的數千臺思科網路裝置配置檔。若思科系統沒有修補漏洞，則可被修改配置檔而允許非授權存取。攻擊者就可能用來偵查網路，這也曝露了攻擊者感興趣的協定和應用，其中多半和工控系統相關。

主導這波攻擊的FSB Center 16也被安全專家稱為Berserk Bear和Dragonfly。多年來該組織駭入全球網路設備，特別是支援無加密協定如SMI及SNMP 1、2的裝置。該組織也對思科裝置植入自製工具，例如2015年的SYNful Knock。

2018年FBI已發布了安全指引。今年5月FBI連同CISA、能源部和環保署聯合發表安全公告，警告有駭客已攻擊重要基礎架構組織留心操作科技（OT）環境或工控系統（ICS）。本月思科Talos發表最新報告，揭露這波攻擊背後駭客組織為Static Tundra。

FBI建議懷疑自己遭到攻擊的企業報警或上網通報。