最新文章

Top News
勒索软件团伙自 1 月起利用思科漏洞发动零日攻击

勒索软件团伙自 1 月起利用思科漏洞发动零日攻击

作者: hackernews 日期: 2026-03-19 分类: 漏洞, 勒索软件

HackerNews 编译,转载请注明出处:

自 1 月下旬起,“联锁”(Interlock)勒索软件团伙就在零日攻击中,利用思科安全防火墙管理中心(FMC)软件中一个极其严重的远程代码执行(RCE)漏洞。

...

思科修复最高危 Secure FMC 漏洞

思科修复最高危 Secure FMC 漏洞

作者: hackernews 日期: 2026-03-05 分类: 漏洞

HackerNews 编译,转载请注明出处:

思科修复了两个高危 Secure FMC 漏洞,攻击者可利用其获取受管理防火墙的 root 权限

...

黑客利用思科 SNMP 漏洞在交换机上部署 rootkit

黑客利用思科 SNMP 漏洞在交换机上部署 rootkit

作者: hackernews 日期: 2025-10-17 分类: 今日推送, 网络安全

HackerNews 编译,转载请注明出处:

威胁行为体利用思科老旧、未受保护网络设备中一个近期刚修复的远程代码执行漏洞(CVE-2025-20352),部署 Linux rootkit 并获取持久访问权限。


此次攻击所利用的安全问题,影响思科 IOS 和 IOS XE 系统中的简单网络管理协议(SNMP)。若攻击者拥有 root 权限,便可通过该漏洞实现远程代码执行(RCE)。


据网络安全公司趋势科技(Trend Micro)称,攻击目标主要是思科 9400、9300 系列交换机,以及老旧的 3750G 系列设备,这些设备均未部署端点检测与响应解决方案。


在 10 月 6 日更新的 CVE-2025-20352 原始公告中,思科将该漏洞标记为 “已被零日利用”。思科产品安全事件响应团队(PSIRT)表示,已知该漏洞 “已被成功利用”。


趋势科技研究人员将此次攻击行动命名为 “零日迪斯科行动”(Operation Zero Disco),原因是恶意软件会设置一个通用访问密码,其中包含 “disco” 一词。


趋势科技的报告指出,威胁行为体还曾尝试利用 CVE-2017-3881 漏洞。这是一个存在七年之久的漏洞,位于 IOS 和 IOS XE 系统的集群管理协议(Cluster Management Protocol)代码中。


在易受攻击的系统上植入的 rootkit,具备一个 UDP 控制器,该控制器可实现多种功能:监听任意端口、切换或删除日志、绕过 AAA 认证与 VTY 访问控制列表(ACLs)、启用 / 禁用通用密码、隐藏运行配置项,以及重置这些配置项的最后修改时间戳。


研究人员在模拟攻击中证实,攻击者可通过该 rootkit 实现多项操作:禁用日志记录、通过 ARP 欺骗伪装中转站 IP、绕过内部防火墙规则,以及在不同虚拟局域网(VLAN)间横向移动。


尽管新型交换机借助地址空间布局随机化(ASLR)保护,对这类攻击的抵抗力更强,但趋势科技表示,它们并非完全免疫 —— 持续的针对性攻击仍可能导致其被入侵。


研究人员称,rootkit 部署完成后,恶意软件会 “在 IOSd 进程上安装多个钩子(hooks),导致无文件组件在设备重启后消失”。


目前,研究人员已成功恢复该 SNMP 漏洞利用工具的 32 位和 64 位两种变体。


趋势科技指出,当前尚无可靠工具能检测思科交换机是否因这类攻击被入侵。若怀疑设备遭黑客攻击,建议对底层固件和只读存储器(ROM)区域进行深度排查。

...

思科、飞塔、帕洛阿尔托网络设备成为协同攻击目标

思科、飞塔、帕洛阿尔托网络设备成为协同攻击目标

作者: hackernews 日期: 2025-10-11 分类: 网络安全

HackerNews 编译,转载请注明出处:

GreyNoise 查明,三项分别针对思科与帕洛阿尔托网络防火墙、飞塔虚拟专用网络(VPN)的漏洞利用行动,其攻击 IP 均来自相同子网

...

思科警告:IOS 零日漏洞正遭利用

思科警告:IOS 零日漏洞正遭利用

作者: hackernews 日期: 2025-09-25 分类: 网络安全

HackerNews 编译,转载请注明出处:

思科发布了安全更新,以修复其 Cisco IOS 和 IOS XE 软件 中一个正在被利用的高危零日漏洞。


该漏洞编号为 CVE-2025-20352,源于受影响 IOS 和 IOS XE 软件中 简单网络管理协议(SNMP)子系统的栈缓冲区溢出缺陷,凡是启用 SNMP 的设备都可能受影响。


根据思科通报,经过身份验证的低权限远程攻击者可以利用此漏洞在未打补丁的设备上触发 拒绝服务(DoS)攻击。而高权限攻击者则可能通过在受影响的 Cisco IOS XE 系统上以 root 用户身份执行代码,从而获得对系统的完全控制。


思科在周三的安全公告中指出:“攻击者可以通过向受影响设备发送特制的 SNMP 数据包(可通过 IPv4 或 IPv6 网络),来利用这一漏洞。”


思科产品安全事件响应团队(PSIRT)已确认,在部分本地管理员凭据泄露后,攻击者已在野外成功利用该漏洞。思科强烈建议客户立即升级至修复版本以解决该问题。


目前,除了应用思科发布的补丁外,没有其他解决方法。思科表示,如果管理员无法立刻升级,可以暂时通过 限制 SNMP 访问仅限可信用户 来降低风险。


思科在公告中强调:“要彻底修复该漏洞并避免未来的风险,思科强烈建议客户升级到公告中指明的修复软件版本。”


除了此次零日漏洞,思科今天还修复了另外 13 个安全漏洞,其中包括两个已公开概念验证(PoC)利用代码的漏洞:


CVE-2025-20240:一个 Cisco IOS XE 的反射型跨站脚本(XSS)漏洞,未经身份验证的远程攻击者可利用它从受影响设备窃取 Cookie。


CVE-2025-20149:一个拒绝服务漏洞,允许经过身份验证的本地攻击者迫使受影响设备重启。


此外,今年 5 月,思科还修复了一处 IOS XE 的最高严重等级漏洞,该漏洞影响无线局域网控制器(WLC),攻击者可利用系统内置的 硬编码 JSON Web Token (JWT),在未经身份验证的情况下远程接管设备。



...