FBI

美国联邦调查局（FBI）本周警告，俄罗斯骇客正滥用思科产品一个7年前的漏洞，来攻击全球公部门及企业的基础架构。

FBI近日侦测到和俄罗斯情治机关FSB（Federal Security Service）Center 16相关的骇客，滥用执行思科Cisco Smart Install软件的旧式网路设备漏洞CVE-2018-0171，以及简单网路管理协定（Simple Network Management Protocol，SNMP）来攻击思科用户。

CVE-2018-0171为一风险值9.8的堆叠式缓冲溢位漏洞，它位于IOS及IOS XE中的Smart Install功能中。Smart Install是安装新交换机的组态及映像档管理功能。问题根源在Smart Install Client未对输入封包资料做必要验证，使攻击者能发送含有恶意程序码的Smart Install讯息，引发堆叠式缓冲溢位，造成阻断服务（denial of service，DoS）或是任意程序码执行攻击。

FBI去年以来侦测到攻击者蒐集美国多个基础架构产业的数千台思科网路装置配置档。若思科系统没有修补漏洞，则可被修改配置档而允许非授权存取。攻击者就可能用来侦查网路，这也曝露了攻击者感兴趣的协定和应用，其中多半和工控系统相关。

主导这波攻击的FSB Center 16也被安全专家称为Berserk Bear和Dragonfly。多年来该组织骇入全球网路设备，特别是支援无加密协定如SMI及SNMP 1、2的装置。该组织也对思科装置植入自製工具，例如2015年的SYNful Knock。

2018年FBI已发布了安全指引。今年5月FBI连同CISA、能源部和环保署联合发表安全公告，警告有骇客已攻击重要基础架构组织留心操作科技（OT）环境或工控系统（ICS）。本月思科Talos发表最新报告，揭露这波攻击背后骇客组织为Static Tundra。

FBI建议怀疑自己遭到攻击的企业报警或上网通报。