在上周五，一个自称“ JHT”的新黑客组织劫持了分属俄罗斯和伊朗两国的大量思科设备，两国的互联网服务提供商（ISP）、数据中心以及某些网站成为了最终受害者。

除了造成设备瘫痪以外，黑客还在设备屏幕上留下了一条消息：“不要干涉我们的选举（Do not mess with our elections）”，并带有一个由字符串组成的美国国旗图案。

伊朗通信和信息技术部长MJ Azari Jahromi 在上周五通过推特表示，这场攻击活动影响到伊朗约3500台网络设备，尽管其中大部分已经恢复。而根据路透社的报道，在全球范围内有超过20万台路由器和交换机遭到攻击，主要受影响的是欧洲、印度和美国。

几乎所有的安全研究人员和媒体都将矛头指向了存在于思科智能安装客户端（Cisco Smart Install Client）软件中的安全漏洞CVE-2018-0171，这是一个由来自俄罗斯安全公司Embedi的安全研究员 George Nosenko在2017年5月发现的缓冲区堆栈溢出漏洞。

这个漏洞允许攻击者能够在未经身份验证的情况下向远端思科设备的 TCP 4786 端口发送自定义的恶意数据包，以此来发起拒绝服务（DoS）攻击或执行任意代码。这意味着攻击者可以通过利用这个漏洞来获得对受影响设备的完全控制权限。

但思科认为，黑客在攻击中只是覆盖了目标设备的配置文件 startup-config 并进行了重启操作，这使得原配置丢失而导致设备无法正常使用。

思科曾在去年发布的安全咨询中指出：“思科智能安装协议可能会遭到滥用，但这并不是说思科IOS和IOS-XE系统或智能安装功能本身存在漏洞。攻击者可能会滥用这个协议来修改TFTP服务器设置，通过TFTP窃取配置文件、修改配置文件、替换IOS镜像以及并设置帐户，从而允许执行IOS命令。”

国内安全公司奇虎360的网络安全研究院（360Netlab）也证实了思科的说法，他们通过推特表示，JHT组织发起的黑客活动并不涉及最近披露的远程代码执行漏洞。相反，这起攻击是由于去年3月份报告的思科智能安装协议中缺少任何身份验证引起的。

由于思科智能安装客户端设计为允许在思科交换机上进行远程管理，因此大多数系统管理员可能都会选择启用它。但我们建议，各位系统管理员在启用这项供能时，应使用接口访问控制列表（ACL）来限制对它的访问。而对于完全不使用这项功能的管理员来说，应该使用配置命令“no vstack”来完全禁用它。

另外，根据安全研究人员在上周日通过使用互联网扫描引擎Shodan的扫描结果来看，有超过16.5台运行思科智能安装客户端且敞开TCP 4786 端口的思科设备仍暴露在互联网上，主要分布在英国、俄罗斯和中国。

尽管最近的攻击似乎的确与CVE-2018-0171漏洞无关，但我们仍强烈建议各位系统管理员应及时安装修补程序来解决潜在的威胁。因为不仅这个漏洞已经被公开披露，而且有关于它技术细节和概念验证（PoC）也已经能够在网上找到，这使得黑客可以很容易地利用它来发起下一轮的攻击。