日期:2015-08-14 點擊: 關鍵詞:思科ROMMON鏡像
思科近日發布新安全公告稱,攻擊者可通過思科IOS設備上傳ROMMON(IOS引導程序)鏡像獲取整臺設備的控制權限。然而令人尷尬的是,這枚思科官方發布的安全預警未被CVE認可。
漏洞成因
ROMMON一般用于初始化思科IOS(它可以算是加載系統的小系統),通常被網絡工程師用做鏡像恢復、一些特殊參數配置。當攻擊者將它替換成惡意變更過的程序后,可獲得該設備的最高權限。
在思科捕獲到的實際案例中,攻擊者是通過獲取有效的管理認證信息來訪問思科設備的,期間他們并沒有利用任何漏洞。于是專家推測,他們是獲取了管理認證后開始攻擊,并上傳安裝了惡意ROMMON鏡像。
思科公告表示:
思科應急響應中心(PSIRT)已經告知了客戶這個漏洞,在觀察了一部分攻擊案例后,他們總結出攻擊者會在獲取管理權限或者物理訪問權限后,將思科IOS ROMMON進行替換,然后上傳安裝一個惡意ROMMON鏡像。
CVE并不認可…
由于手動安裝升級的ROMMON是一種標準的、文檔化的特性,這是為了網管能更便捷地管理網絡。所以盡管思科“自曝”漏洞,但CVE拒絕給予漏洞編號。這就很尷尬了,這種做法沒有被CVE認可。但大家需要注意的是,這種攻擊手法確實能應用到大部分網絡設備上去,不僅僅是思科。
企業通訊
