新闻媒体上几乎天天都有关于漏洞的新闻爆出。一般情况下,漏洞会在互联网上引起热议,在开发者发布相关补丁后,一切渐渐平息。看起来似乎万事大吉,问题也得到了解决,但事实却并非如此。不是所有管理员都会安装更新,尤其是涉及到网络设备软件的更新。更新通常需要的工作量很大。
有些系统管理员认为自己的企业不会成为黑客的目标。有些管理员则会扫视官方安全建议中是否有”没有漏洞存在的迹象”这样的语句,若是没有,就放心不管,认为这只是理论上的漏洞。
去年,思科设备报告了几个严重漏洞。其中一个是Cisco IOS和IOS XE操作系统中的SNMP远程代码执行漏洞(咨询ID:cisco-sa-20170629-snmp),这个漏洞说明了外部人员可能如何获得对系统的完全控制权。他们唯一需要的是相关系统的SNMP只读社区字符串(一种用户ID或密码)。自2017年7月以来,这个问题已经广为人知。思科也严肃对待这些漏洞,并迅速进行了修补,因此没有检测到任何利用这些漏洞的企图。
我们的同事Artem Kondratenko是一名渗透测试专家。在他执行的一次外部渗透测试中,发现了一个带有默认SNMP社区字符串的Cisco路由器。他决定研究下这个漏洞到底有多危险。为此,他设定了一个目标:通过该路由器访问内部网络。顺便说一句,Kondratenko的发现并不是独一无二的。Shodan列出了使用默认社区字符串的3,313部相同型号设备。
不过,我们暂且不谈技术细节。如果你想更好地了解他开展的研究,请观看Kondratenko在混沌通讯大会上发表的演讲。重要的是他所得出的最终结果。他证明了可以利用这个漏洞以第15级权限来访问系统,这是思科IOS shell的最高访问权限。所以,因为没有检测到此漏洞,而就此忽略该漏洞可就大错特错了。Kondratenko从发现有漏洞的设备到创建利用cisco-sa-20170629-snmp的概念证明仅用了四周时间。
为了确保您的路由器不会成为此漏洞的第一个受害者,明智的做法是:
1.确保您的网络设备软件是最新的;
2.不要在连接到外部网络的路由器上使用默认社区字符串(最好避免使用默认社区字符串);
3.密切关注网络设备的使用寿命声明 – 寿命到期后,制造商不会再提供支持,因此不可能收到任何更新。