HackerNews 编译，转载请注明出处： 亚马逊威胁情报团队周三披露，其监测到某高级威胁攻击者利用思科身份服务引擎与思杰NetScaler应用交付控制器产品中的两个零日安全漏洞，开展旨在投递定制化恶意软件的网络攻击。 亚马逊综合安全首席信息安全官CJ·摩西在向《黑客新闻》提供的报告中指出：”这一发现揭示了威胁攻击者正将焦点集中于关键身份验证与网络访问控制基础设施的趋势——这些系统正是企业实施安全策略和管理全网认证所依赖的核心。” 该攻击活动由其马德波特蜜罐网络捕获，攻击者武器化利用了以下两个漏洞： CVE-2025-5777（思杰出血漏洞2.0）（CVSS评分9.3）：思杰NetScaler ADC和网关中的输入验证缺陷，攻击者可利用此漏洞绕过身份验证（思杰已于2025年6月发布补丁） CVE-2025-20337（CVSS评分10.0）：思科身份服务引擎及思科ISE被动身份连接器的未认证远程代码执行漏洞，可允许攻击者以root权限在底层操作系统执行任意代码（思科已于2025年7月修复） 尽管这两项漏洞已被发现遭主动利用，但亚马逊报告首次揭示了具体攻击细节。 攻击链条深度解析 亚马逊表示，其检测到针对CVE-2025-5777的零日漏洞利用尝试，后续调查更发现攻击者通过CVE-2025-20337向思科ISE设备投递异常载荷。整个攻击活动最终部署了伪装成合法思科ISE组件（IdentityAuditAction）的定制化网页外壳。 摩西强调：”这并非常见的现成恶意软件，而是专为思科ISE环境量身定制的后门程序。”该网页外壳具备深度隐匿能力：完全在内存中运行，通过Java反射机制注入正在执行的线程，同时注册监听器监控Tomcat服务器所有HTTP请求，并采用非标准Base64编码的DES加密以规避检测。 攻击特征与防御建议 亚马逊将此次攻击定性为无差别扫描，并指出攻击者属于”高资源支持型”——其能同时利用多个零日漏洞，表明要么具备高级漏洞研究能力，要么可能获取了未公开漏洞信息。此外，定制化工具的使用反映出攻击者对企业级Java应用、Tomcat内部机制及思科ISE运作原理的深入了解。 这些发现再次表明，威胁攻击者持续瞄准网络边缘设备作为渗透入口。企业亟需通过防火墙或分层访问机制，严格限制对特权管理门户的访问权限。摩西警示：”这些漏洞利用均无需预认证的事实说明，即便是配置完善、精心维护的系统也可能受影响。这凸显了实施全面纵深防御策略、建设能识别异常行为模式的强大检测能力的势在必行。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Atlassian和Cisco本周宣布为其产品中的多个高危漏洞提供补丁，其中包括可导致远程代码执行的缺陷。 Atlassian发布了七项更新，修复了Bamboo、Confluence和Jira中影响第三方依赖项的四个高危漏洞，其中部分漏洞早在近六年前就已公开披露。针对Bamboo数据中心与服务器版、Jira数据中心与服务器版以及Jira服务管理数据中心与服务器版的修复程序，解决了Netplex Json-smart中未经认证即可被利用的拒绝服务（DoS）问题。该安全缺陷编号为CVE-2024-57699。 针对Jira及Jira服务管理的安全更新还修复了一个可导致DoS的XXE（XML外部实体注入）漏洞，编号为CVE-2021-33813。 Confluence数据中心与服务器版修复了两个漏洞，包括Netty应用框架中的DoS漏洞（编号CVE-2025-24970），以及libjackson-json-java库中的XXE漏洞（CVE-2019-10172）。 Atlassian未提及这些漏洞在现实中被利用的情况。 周三，Cisco为Webex App、安全网络分析系统（Secure Network Analytics）和Nexus Dashboard中的三个安全缺陷提供了补丁。 Webex App修复了一个高危漏洞（编号CVE-2025-20236）。攻击者可诱使用户点击特制会议邀请链接并下载任意文件，从而远程执行任意代码。针对安全网络分析系统7.5.0、7.5.1和7.5.2版本的更新修复了一个中危问题，该漏洞允许经过认证的攻击者获取具有root权限的shell访问。 在Nexus Dashboard中，Cisco修复了一个中危漏洞，未经认证的远程攻击者可借此验证有效LDAP用户账号的用户名。 Cisco表示目前未发现这些漏洞在现实中被利用。更多信息可查阅该公司安全公告页面。     消息来源：securityweek；  本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 思科修复了一个拒绝服务（DoS）漏洞（CVE-2025-20115），该漏洞允许未授权的远程攻击者通过发送单一 BGP 更新消息使 IOS XR 路由器上的边界网关协议（BGP）进程崩溃。 IOS XR 是思科为运营商级和服务提供商路由器开发的网络操作系统，基于微内核架构，专为高可用性、可扩展性和模块化设计。 攻击者可利用此漏洞通过精心构造的 BGP 更新或错误配置网络，导致内存损坏和 BGP 进程重启，从而引发拒绝服务。利用此漏洞需要攻击者控制 BGP 联盟扬声器或 AS_CONFED_SEQUENCE 属性达到 255 个自治系统编号。 “思科 IOS XR 软件中边界网关协议（BGP）的联盟实现存在漏洞，可能允许未认证的远程攻击者造成拒绝服务（DoS）条件。”咨询报告中指出，“该漏洞源于当 BGP 更新创建时，AS_CONFED_SEQUENCE 属性包含 255 个自治系统编号，导致内存损坏。攻击者可通过发送构造的 BGP 更新消息或网络设计使 AS_CONFED_SEQUENCE 属性达到 255 个或更多自治系统编号来利用此漏洞。成功利用可能导致内存损坏，BGP 进程重启，引发 DoS 条件。要利用此漏洞，攻击者必须控制与受害者同一自治系统中的 BGP 联盟扬声器，或网络设计使 AS_CONFED_SEQUENCE 属性达到 255 个或更多自治系统编号。” 此漏洞影响配置了 BGP 联盟的思科 IOS XR 软件，但不影响 IOS 软件、IOS XE 软件和 NX-OS 软件。 以下是受影响版本及修复版本： 思科 IOS XR 软件版本 首个修复版本 7.11 及更早版本 迁移到修复版本 24.1 及更早版本 迁移到修复版本 24.2 24.2.21（未来版本） 24.3 24.3.1 24.4 不受影响 若无法应用补丁，可将 AS_CONFED_SEQUENCE 限制在 254 个或更少自治系统编号，以降低攻击风险。 “存在一个解决此漏洞的变通方法。此漏洞部分原因是 BGP AS_CONFED_SEQUENCE 属性为 255 个或更多自治系统编号。变通方法是将此 BGP 属性限制在 254 个或更少自治系统编号。”报告中指出，“虽然此变通方法已在测试环境中部署并被证明成功，但客户应根据自身环境和使用条件确定其适用性和有效性。” IT 巨头建议在部署前评估变通方法，因为它可能根据特定部署场景影响网络性能。 思科产品安全事件响应团队（PSIRT）目前尚未发现利用此漏洞的攻击。   消息来源：Security Affairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）周一将五个影响思科、日立 Vantara、微软 Windows 和 Progress WhatsUp Gold 软件的安全漏洞添加到其已知被利用漏洞（KEV）目录中，基于这些漏洞正被积极利用的证据。 漏洞详情 CVE-2023-20118（CVSS 评分：6.5）：思科小型企业 RV 系列路由器的基于网络的管理界面中的命令注入漏洞，允许经过身份验证的远程攻击者获得根级别权限并访问未经授权的数据（由于路由器已达到使用寿命终点，未进行修补） CVE-2022-43939（CVSS 评分：8.6）：日立 Vantara Pentaho BA Server 中的授权绕过漏洞，源于使用非规范 URL 路径进行授权决策（已于 2024 年 8 月通过版本 9.3.0.2 和 9.4.0.1 修复） CVE-2022-43769（CVSS 评分：8.8）：日立 Vantara Pentaho BA Server 中的特殊元素注入漏洞，允许攻击者将 Spring 模板注入属性文件，从而执行任意命令（已于 2024 年 8 月通过版本 9.3.0.2 和 9.4.0.1 修复） CVE-2018-8639（CVSS 评分：7.8）：微软 Windows Win32k 中的不正确资源关闭或释放漏洞，允许本地经过身份验证的用户进行权限提升，并在内核模式下运行任意代码（已于 2018 年 12 月修复） CVE-2024-4885（CVSS 评分：9.8）：Progress WhatsUp Gold 中的路径遍历漏洞，允许未经过身份验证的攻击者实现远程代码执行（已于 2024 年 6 月通过版本 2023.1.3 修复） 关于上述漏洞中的一些在野外如何被利用的报告很少，但法国网络安全公司 Sekoia 上周透露，威胁行为者正在利用 CVE-2023-20118 将易受攻击的路由器纳入名为 PolarEdge 的僵尸网络。 至于 CVE-2024-4885，Shadowserver 基金会表示，自 2024 年 8 月 1 日起，已观察到针对该漏洞的利用尝试。GreyNoise 的数据显示，来自中国香港、俄罗斯、巴西、韩国和英国的多达八个独特 IP 地址与该漏洞的恶意利用有关。 最后，CISA 提醒联邦民用执行部门（FCEB）机构在 2025 年 3 月 24 日之前应用必要的缓解措施，以保护其网络免受这些漏洞的威胁。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

思科修复了一个严重漏洞，编号为 CVE-2024-20401（CVSS 评分 9.8），该漏洞可能允许未经身份验证的远程攻击者添加具有 root 权限的新用户并永久破坏安全电子邮件网关 (SEG) 设备。 该缺陷存在于思科安全电子邮件网关的内容扫描和消息过滤功能中。 此漏洞源于在启用文件分析和内容过滤器时对电子邮件附件的处理不当。攻击者可以通过发送特制的电子邮件附件来利用此漏洞，从而替换文件系统上的任何文件。这可以使他们添加 root 用户、修改配置、执行任意代码或在受影响的设备上触发永久拒绝服务 (DoS) 条件。 思科发布的公告称：“思科安全电子邮件网关的内容扫描和消息过滤功能中存在一个漏洞，可能允许未经身份验证的远程攻击者覆盖底层操作系统上的任意文件。” 此漏洞是由于在启用文件分析和内容过滤器时对电子邮件附件的处理不当造成的。攻击者可以通过受影响的设备发送包含精心设计的附件的电子邮件来利用此漏洞。 成功利用此漏洞可让攻击者替换底层文件系统上的任何文件。然后，攻击者可以执行以下任何操作：添加具有 root 权限的用户、修改设备配置、执行任意代码或在受影响的设备上造成永久拒绝服务 (DoS) 条件。 如果启用了文件分析功能（思科高级恶意软件防护的一部分）或内容过滤功能并将其分配给传入邮件策略，并且内容扫描工具版本早于 23.3.0.4823，则此漏洞会影响运行存在漏洞的 Cisco AsyncOS 版本的思科安全电子邮件网关。 内容扫描工具版本 23.3.0.4823 及更高版本解决了此漏洞。此更新版本也是 Cisco AsyncOS for Cisco Secure Email Software 版本 15.5.1-055 及更高版本的一部分。 用户可以通过连接产品网页管理界面（“邮件策略 > 传入邮件策略 > 高级恶意软件防护 > 邮件策略”），检查“启用文件分析”选项是否被选中来确定是否启用了文件分析。 要确定内容过滤器是否启用，用户可以打开产品 Web 界面并检查“内容过滤器”列（“选择邮件策略 > 传入邮件策略 > 内容过滤器”）是否不包含值“已禁用”。 该公司的产品安全事件响应团队 (PSIRT) 尚未发现针对 CVE-2024-20401 漏洞的攻击尝试。 本周，这家 IT 巨头解决了思科智能软件管理器 On-Prem（Cisco SSM On-Prem）许可证服务器中的一个严重漏洞，该漏洞编号为 CVE-2024-20419（CVSS 评分为 10.0），攻击者可以利用该漏洞更改任何用户的密码。 此问题是由于密码更改流程实施不当造成的。攻击者可以通过向易受攻击的设备发送特制的 HTTP 请求来触发此漏洞。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/oVbtQrcfWffkW70c7f_kow 封面来源于网络，如有侵权请联系删除

近日，思科针对集成管理控制器 (IMC) 中的一个关键漏洞发布了概念验证 (PoC) 漏洞利用程序。该漏洞被识别为 CVE-2024-20356，允许命令注入，可使攻击者获得受影响系统的 root 访问权限。 漏洞概述 该漏洞存在于思科集成管理控制器（IMC）基于网络的管理界面中，而 IMC 是用于远程管理思科硬件的重要组件。 根据思科发布的官方安全公告，该漏洞是由于 IMC 界面的用户输入验证不足造成的，这一疏忽导致拥有管理权限的经过验证的远程攻击者能够注入恶意命令。 受影响的产品包括一系列思科服务器和计算系统，主要有： 5000 系列企业网络计算系统 (ENCS) Catalyst 8300 系列边缘 uCPE 独立模式下的 UCS C 系列 M5、M6 和 M7 机架式服务器 UCS E 系列服务器 UCS S 系列存储服务器 漏洞利用的技术细节 Nettitude 安全研究人员表示，利用程序涉及多个步骤，攻击者通过 Web 界面发送精心制作的命令，就可以在思科硬件的底层操作系统上以 root 权限执行任意代码。 名为 “CISCown “的 PoC 漏洞利用程序是 Nettitude 开发的工具包的一部分，可在 GitHub 上下载，它通过目标 IP、用户名和密码等参数实现漏洞的自动化利用。该工具包还可用于测试漏洞，允许在受影响设的备上部署 telnetd root shell 服务。 这一 PoC 漏洞的发布标志着使用思科受影响产品的企业面临着严重的威胁。因为获得 root 访问权限后攻击者就可能完全控制硬件，导致数据被盗、系统宕机，甚至进一步的网络破坏。 为此，思科已发布软件更新来解决这一漏洞，强烈建议所有受影响的企业立即更新，确保系统安全。 针对 CVE-2024-20356 的 PoC 漏洞利用的发布凸显了保护复杂网络环境安全所面临的持续挑战，用户和管理员应访问思科官方安全公告页面和托管漏洞利用工具包的 Nettitude GitHub 存储库，了解更多详细信息并及时更新。   转自Freebuf，原文链接：https://www.freebuf.com/news/398701.html 封面来源于网络，如有侵权请联系删除

思科警告称，IOS XE 中存在新的零日漏洞，未知威胁者已积极利用该漏洞在易受影响的设备上部署基于Lua 的恶意植入程序。 该问题被追踪为CVE-2023-20273（CVSS 评分：7.2），与 Web UI 功能中的权限升级缺陷有关，据说与 CVE-2023-20198（CVSS 评分：10.0）一起使用，作为漏洞利用链。 思科在周五发布的更新公告中表示：“攻击者首先利用 CVE-2023-20198 获得初始访问权限，并发出特权 15 命令来创建本地用户和密码组合。” “这允许用户以普通用户访问权限登录。” “攻击者随后利用了 Web UI 功能的另一个组件，利用新的本地用户提升 root 权限并将植入程序写入文件系统，”这一缺陷已被分配了标识符 CVE-2023-20273。 思科发言人告诉 The Hacker News，已经确定了涵盖这两个漏洞的修复程序，并将于 2023 年 10 月 22 日开始向客户提供。在此期间，建议禁用 HTTP 服务器功能。 虽然思科此前曾提到，同一软件中现已修补的安全漏洞 ( CVE-2021-1435 ) 已被利用来安装后门，但根据发现的情况，该公司评估该漏洞不再与该活动相关。新的零日漏洞。 美国网络安全和基础设施安全局 (CISA)表示：“未经身份验证的远程攻击者可能会利用这些漏洞来控制受影响的系统。” “具体来说，这些漏洞允许攻击者创建一个特权帐户，以提供对设备的完全控制。” 成功利用这些漏洞可能使攻击者能够不受限制地远程访问路由器和交换机、监控网络流量、注入和重定向网络流量，并由于缺乏针对这些设备的保护解决方案而将其用作网络的持久滩头阵地。 根据Censys和LeakIX的数据，估计有超过 41,000 台运行易受攻击的 IOS XE 软件的思科设备已被利用这两个安全漏洞的威胁者所破坏。 该攻击面管理公司表示：“截至 10 月 19 日，受感染的思科设备数量已减少至 36,541 台。” “该漏洞的主要目标不是大公司，而是较小的实体和个人。” 检测到的思科植入程序神秘下降 周六，多个网络安全组织报告称，受恶意植入的 Cisco IOS XE 设备数量已神秘地从大约 60,000 台设备下降到仅 100-1,200 台，具体取决于不同的扫描。 Onyphe 创始人兼首席技术官 Patrice Auffret 告诉 BleepingComputer，他相信攻击背后的威胁行为者正在部署更新来隐藏他们的存在，从而导致扫描中不再显示植入程序。 “连续第二天，我们看到植入程序的数量在短时间内急剧下降（请参阅随附的屏幕截图）。基本上，它们似乎几乎全部重新启动（因为已知的植入程序无法在重新启动后幸存）或已更新。” “我们认为，这是最初的威胁行为者的行为，他们试图解决从一开始就不应该存在的问题。事实上，植入物如此容易被远程检测到，这是他们的一个错误。 “他们可能正在部署更新来隐藏他们的存在。” Shadowserver 基金会首席执行官 Piotr Kijewski 也告诉 BleepingComputer，自 10 月 21 日以来，他们发现植入程序急剧下降，扫描仅发现 107 台设备带有恶意植入程序。 “植入物似乎已被移除或以某种方式更新，”Kijewski 通过电子邮件告诉 BleepingComputer。 被恶意植入的 Cisco IOS XE 设备数量 另一种理论认为，灰帽黑客正在自动重启受影响的 Cisco IOS XE 设备以清除植入程序。2018 年也出现过类似的活动，当时一名黑客声称已经修补了 100,000 个 MikroTik 路由器，这样它们就不会被滥用于加密劫持和 DDoS 活动。 然而，Orange Group 的 Orange Cyberdefense CERT 告诉 BleepingComputer，他们不认为灰帽黑客是植入减少的幕后黑手，而认为这可能是一个新的利用阶段。 Orange Cyberdefense CERT 发推文称：“请注意，潜在的痕迹清理步骤正在进行中，以隐藏植入程序（在利用 #CVE-2023-20198 之后）。  ” “即使您禁用了 WebUI，我们也建议您进行调查，以确保没有添加恶意用户并且其配置没有被更改。” 安全研究人员丹尼尔·卡德（Daniel Card）分享的另一种可能性  是，许多被植入物破坏的设备只是一个诱饵，旨在隐藏攻击中的真正目标。 不幸的是，目前我们所拥有的只是理论。在思科或其他研究人员能够检查之前遭到破坏的 Cisco IOS XE 设备以查看它们是否只是重新启动或是否进行了新更改之前，无法知道发生了什么。 BleepingComputer 已联系思科询问有关植入物掉落的问题，但目前尚未收到回复。   转自安全客，原文链接：https://www.anquanke.com/post/id/290858 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，思科自适应安全设备（Cisco Adaptive Security Appliance，ASA）和思科威胁防御系统（Cisco Firepower Threat Defense，FTD）中存在一个漏洞（CVE-2023-20269 ），勒索软件组织正在利用该漏洞对部分企业内部网络进行初始化访问。 CVE-2023-20269 漏洞主要影响 Cisco ASA 和 Cisco FTD 的 VPN 功能，允许未经授权的远程网络攻击者对用户现有账户进行暴力攻击，网络攻击者通过访问帐户，可以在被破坏公司的网络中建立无客户端 SSL VPN 会话。 值得一提的是，上个月，Bleeping Computer 曾报道称 Akira 勒索软件组织已开始通过思科 VPN 设备入侵某些企业的内部网络。当时，网络安全公司 SentinelOne 推测网络攻击者可能利用了一个未知安全漏洞。 一周后，Rapid7 表示除 Akira 外，Lockbit 勒索软件组织也在利用思科 VPN 设备中一个未记录的安全漏洞，但没有透露该安全漏洞的更多其它细节。事后不久，思科就发布了一份咨询警告，称上述违规行为是网络攻击者通过在未配置 MFA 的设备上强行使用凭据，才成功入侵部分公司的内部网络。 本周，思科证实存在一个被勒索软件团伙利用的零日漏洞，并在临时安全公告中提供了解决方法。不过，受影响产品的安全更新尚未发布。 漏洞详情 CVE-2023-20269 漏洞位于 Cisco ASA 和 Cisco FTD 设备的 web 服务接口内，由于未正确分离 AAA 功能和其他软件功能造成。（具有处理身份验证、授权和计费（AAA）功能的功能）。 这就导致攻击者可以向 web 服务接口发送身份验证请求以影响或破坏授权组件的情况，由于这些请求没有限制，网络攻击者能够使用无数的用户名和密码组合来强制使用凭据，从而避免受到速率限制或被阻止滥用。 要使暴力攻击奏效，Cisco 设备必须满足以下条件： 至少有一个用户在 LOCAL 数据库中配置了密码，或者 HTTPS 管理身份验证指向有效的 AAA 服务器； 至少在一个接口上启用了 SSL VPN，或者至少在一一个接口中启用了 IKEv2 VPN。 如果目标设备运行 Cisco ASA 软件 9.16 版或更早版本，在无需额外授权情况下，网络攻击者可以在成功身份验证后建立无客户端SSL VPN 会话。 要建立此无客户端 SSL VPN 会话，目标设备需要满足以下条件： 攻击者在 LOCAL 数据库或用于 HTTPS 管理身份验证的 AAA 服务器中拥有用户的有效凭据，这些证书可以使用暴力攻击技术获得； 设备正在运行 Cisco ASA 软件 9.16 版或更早版本； 至少在一个接口上启用了 SSL VPN； DfltGrpPolicy 中允许使用无客户端 SSL VPN 协议。 如何缓解漏洞？ 据悉，思科将发布安全更新以解决 CVE-2023-20269 安全漏洞问题，但在修复更新可用之前，建议系统管理员采取以下措施： 使用 DAP（动态访问策略）停止具有 DefaultADMINGroup 或 DefaultL2LGroup 的 VPN 隧道； 通过将 DfltGrpPolicy的vpn 同时登录调整为零，并确保所有 vpn 会话配置文件都指向自定义策略，拒绝使用默认组策略进行访问； 通过使用“组锁定”选项将特定用户锁定到单个配置文件来实现 LOCAL 用户数据库限制，并通过将“VPN 同时登录”设置为零来阻止 VPN 设置。 Cisco 还建议通过将所有非默认配置文件指向 AAA 服务器（虚拟 LDAP 服务器）来保护默认远程访问 VPN 配置文件，并启用日志记录以尽早发现潜在网络攻击事件。 最后，需要注意的是，多因素身份验证（MFA）可以有效降低网络安全风险，原因是即使网络攻击者成功强制使用帐户凭据，也不足以劫持 MFA 安全帐户并使用它们建立 VPN 连接。   转自freebuf，原文链接：https://www.freebuf.com/news/377627.html 封面来源于网络，如有侵权请联系删除

近日，美国、英国和思科警告由俄罗斯政府资助的 APT28 黑客在 Cisco IOS 路由器上部署名为“Jaguar Tooth”的自定义恶意软件，允许未经身份验证的设备访问。 APT28，也称为 Fancy Bear、STRONTIUM、Sednit 和 Sofacy，是一个与俄罗斯总参谋部情报总局 (GRU) 有联系的国家资助的黑客组织。这个黑客组织由于对欧洲和美国利益的广泛攻击，并且以滥用零日漏洞进行网络间谍活动而闻名。 在英国国家网络安全中心 (NCSC)、美国网络安全和基础设施安全局 (CISA)、美国国家安全局和联邦调查局发布的一份联合报告详细介绍了 APT28 黑客如何利用Cisco IOS路由器上的旧SNMP 漏洞部署名为“Jaguar Tooth”的自定义恶意软件。 自定义 Cisco IOS 路由器恶意软件 Jaguar Tooth 是一种恶意软件，直接注入到运行较旧固件版本的 Cisco 路由器的内存中。安装后，恶意软件会从路由器中泄露信息，并提供对设备的未经身份验证的后门访问。 NCSC公告警告说：“Jaguar Tooth是一种非持久性恶意软件，其目标是运行固件的 Cisco IOS 路由器：C5350-ISM，版本 12.3(6)。它包括收集设备信息的功能，通过 TFTP 泄露这些信息，并启用未经身份验证的后门访问。据观察，它是通过利用已修补的 SNMP 漏洞 CVE-2017-6742 进行部署和执行的。” 为了安装恶意软件，威胁参与者使用弱 SNMP 社区字符串（例如常用的“公共”字符串）扫描公共 Cisco 路由器。SNMP 社区字符串就像凭据，允许知道配置字符串的任何人查询设备上的 SNMP 数据。 如果发现有效的 SNMP 社区字符串，威胁参与者就会利用2017年6月修复的CVE-2017-6742 SNMP 漏洞。此漏洞是一个未经身份验证的远程代码执行漏洞，具有公开可用的利用代码。 一旦攻击者访问Cisco路由器，他们就会修补其内存以安装自定义的非持久性Jaguar Tooth恶意软件。 NCSC 恶意软件分析报告解释说：“当通过Telnet或物理会话连接时，这将授予对现有本地帐户的访问权限，而无需检查提供的密码。” 此外，该恶意软件创建了一个名为“Service Policy Lock”的新进程，该进程收集以下命令行界面(CLI)命令的输出并使用TFTP将其泄露： 显示运行配置 显示版本 显示 ip 界面简介 显示arp 显示 cdp 邻居 演出开始 显示 ip 路由 显示闪光 所有思科管理员都应该将他们的路由器升级到最新的固件以减轻这些攻击。 Cisco建议在公共路由器上从 SNMP切换到 NETCONF/RESTCONF 以进行远程管理，因为它提供更强大的安全性和功能。 如果需SNMP，管理员应配置允许和拒绝列表以限制谁可以访问公开路由器上的SNMP 接口，并且社区字符串应更改为足够强的随机字符串。 CISA 还建议在 Cisco 路由器上禁用 SNMP v2 或 Telnet，因为这些协议可能允许从未加密的流量中窃取凭据。 最后，如果怀疑某台设备遭到入侵，CISA 建议使用 Cisco 的建议来验证 IOS 映像的完整性，撤销与该设备关联的所有密钥，不要重复使用旧密钥，并使用直接来自 Cisco 的映像替换映像。 目标的转变 公告强调了国家资助的威胁行为者为网络设备创建自定义恶意软件以进行网络间谍和监视的趋势。 由于边缘网络设备不支持端点检测和响应 (EDR) 解决方案，因此它们正成为威胁参与者的热门目标。 此外，由于它们位于边缘，几乎所有企业网络流量都流经它们，因此它们是监视网络流量和收集凭据以进一步访问网络的有吸引力的目标。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/0SbA7wXgGuDajkAMoOxqZA 封面来源于网络，如有侵权请联系删除