CIA Vault 7泄露事件余温未过，思科专家就发现其IOS与IOS XE软件集群管理协议存在远程代码执行漏洞。

最近维基解密刚刚宣布计划与某些IT企业分享一些有关他们产品存在缺陷的细节，CIA Vault7数据泄露事件中就包括一些黑客工具和技术对这些漏洞的利用。阿桑奇给这些公司发了一封“有条件”的邮件，要求这些IT企业必须满足并执行这些条件才能获得这些细节信息。

但是看起来，某些IT巨头是不甘于就这样接受阿桑奇的条件，思科就开始了自己的内部检测，分析了包括Vault 7在内的所有文件。到目前为止，思科发现了存在于IOS/IOS XE之中的漏洞，影响范围超过300款不同型号的交换机，从2350-48TD-S交换机到SM-X Layer 2/3 EtherSwitch服务模块。

 

　　漏洞概况：

该漏洞存在于思科IOS与IOS XE软件的CMP协议(思科集群管理协议)处理代码中，可被未经授权的攻击者利用，提升权限并远程执行代码，另外还能导致设备重新加载。攻击者因此也就能够获得设备的完整控制权了。

对集群内的设备来说，这里的CMP协议采用Telnet作为内部信号和命令收发的协议。

此漏洞可以说是两种因素联合导致的：

没能正确将CMP专用Telnet选项限制在集群设备之间的内部通讯，设备会接受并处理通过任意Telnet连接的相关选项；

　　针对恶意CMP专用Telnet设置的错误处理。

入侵者可以直接发送恶意构造的CMP专用Telnet选项给设备，配置为接受Telnet连接、受到影响的思科设备会建立Telnet会话。

该漏洞影响到相应设备的默认配置，即便用户没有配置交换机集群也受影响，通过IPv4或IPv6都可利用该漏洞。

　　影响范围：

思科在安全公告中已经确定，这种漏洞影响超过264种Catalyst交换机，51种工业以太网交换器和其他3种思科设备。存在缺陷的设备都运行IOS并配置为接受Telnet连接。详情点击这里。

　　缓解措施：

思科专家暂时提供了缓解措施，就是禁用Telnet连接，并表示SSH依然是远程访问设备的最佳选择。另外不像禁用Telnet协议的，可以通过采用iACL(基建访问控制列表)来减少攻击面。暂无其他解决方案

目前思科正在着手努力修复此漏洞，但是具体的补丁发布时间无法确定。

思科在博客中说，因为Vault 7并没有公开相关恶意程序和工具的详情，所以思科能做的也比较有限，思科未来会持续对文档进行分析。

(责任编辑：安博涛)