威脅警報：Cisco IOS高危漏洞觸發Rockwell工業系統危機

近日，據外媒報道稱，由於Cisco IOS軟體存在的安全漏洞，Rockwell Allen-Bradley Stratix 和ArmorStratix工業乙太網交換機的某些型號將面臨遠程攻擊威脅。

根據美國工控系統網路應急響應團隊（ICS-CERT）發布的安全警報稱，通過身份驗證的遠程攻擊者可以利用Cisco IOS系統存在的安全漏洞，在受影響的系統上執行惡意代碼，或觸發 DDoS 攻擊，從而重新載入該設備。

ICS-CERT警報稱，

成功利用這些漏洞可能允許經過身份驗證的遠程攻擊者在受影響的系統上執行代碼，或導致受影響的系統崩潰並重新載入。

全球各行業的關鍵基礎設施均受此漏洞影響，其中包括關鍵製造業、能源、水資源和廢水系統等。這些關鍵基礎設施主要依賴於Cisco IOS系統軟體與企業網路進行安全集成，這也就意味著，Cisco IOS安全漏洞同樣會影響Rockwell自動化產品。

得知此漏洞信息後，Rockwell自動化系統已經第一時間向客戶通報了Cisco IOS和IOS XE中的高危漏洞，據悉，共有9處漏洞影響簡單網路管理協議（SNMP）子系統的1、2c和3版本。

據悉，Cisco已於 6月29日公開披露了該漏洞，並提供了解決方案，但是並未通知客戶有關安全補丁的可用性消息。

從CVE-2017-6736-CVE-2017-6744代碼中追蹤的9個安全問題都已被該公司修補。研究人員發現，未經身份驗證的遠程攻擊者可以利用上述9個漏洞向目標系統發送特製的SNMP數據包，執行任意代碼或導致系統崩潰並重新載入。

CISCO公司6月份發布的安全公告表示，

Cisco IOS和IOS XE軟體的簡單網路管理協議（SNMP）子系統包含多個漏洞，可以允許通過身份驗證的遠程攻擊者在受影響的系統上執行代碼或導致受影響的系統重新載入。攻擊者可以通過IPv4或IPv6向受影響的系統發送特製的SNMP數據包來利用這些漏洞。

正如報告所述，知道目標系統SNMP只讀社區字元串（community string）的通過身份驗證的攻擊者可以通過IPv4或IPv6向受影響的系統發送特製的SNMP數據包，來遠程執行代碼或導致系統重新載入。

這種攻擊非常危險，因為黑客可以完全控制受影響的設備，更糟糕的是，CISCO警告客戶稱，攻擊者已經了解該漏洞信息，並且可以隨時利用這些漏洞發起攻擊。

Cisco在其安全公告中表示，

成功利用該漏洞將允許攻擊者執行任意代碼並獲得對受影響系統的完全控制權，或導致受影響的系統重新載入。想要通過SNMP 2c或更早版本來利用這些漏洞，攻擊者必須知道受影響系統的SNMP只讀社區字元串。而想要通過SNMP 3版本利用這些漏洞，攻擊者必須擁有受影響系統的用戶憑據。

目前，Cisco並未發現任何利用該漏洞進行的網路攻擊跡象，但是該公司已經證實稱，公司以外的攻擊者也已經了解該漏洞的存在，並隨時可能利用它們實施攻擊。

據悉，這些漏洞影響的Rockwell Allen-Bradley Stratix和ArmorStratix工業乙太網交換機版本主要為：

Allen-Bradley Stratix 5400、5410、5700和8000型號運行的15.2（5）EA.fc4及更早版本的固件；nStratix 5900型號運行的15.6（3）M1及更早版本；nStratix 8300型號運行的15.2（4）EA 及更早版本；nArmorStratix 5700型號運行的15.2（5）EA.fc4 及更早版本；n

這些漏洞已經在Stratix 8300型號的15.2（4a）EA5版本中得到了修復。

目前，Rockwell正在等待其他型號的安全更新，並敦促客戶禁用特定管理信息庫（MIB）；使用強大的SNMP憑據；通過防火牆和其他安全設備防止未經授權的SNMP請求。此外，Rockwell用戶也可以使用Cisco提供的Snort規則來檢測漏洞。

本文翻譯自：http://securityaffairs.co/wordpress/62347/breaking-news/cisco-ios-flaws-rockwell.html，如若轉載，請註明來源於嘶吼 ： http://www.4hou.com/info/news/7416.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：