以下是黑客如何瞄准俄罗斯和伊朗的思科网络交换机

从上周开始，一个新的黑客组织劫持了大量属于俄罗斯和伊朗组织的思科设备，并留下一条信息，内容如下："不要搅乱我们的选举“用美国国旗（ASCII艺术）。

伊朗通信和信息技术部长MJ Azari Jahromi表示，这场运动影响了伊朗约3500台网络交换机，尽管其中大部分已经恢复。

据报道，黑客组织的目标是安装易受攻击的Cisco Smart Install Client，这是一种传统的即插即用实用程序，旨在帮助管理员远程配置和部署Cisco设备。默认情况下，该实用程序在Cisco IOS和IOS XE交换机上启用，并通过TCP端口4786运行。
一些研究人员认为，此次攻击涉及Cisco Smart Install Client中最近披露的一个远程代码执行漏洞（CVE-2018-0171），该漏洞可能允许攻击者完全控制网络设备。

然而，由于黑客显然重置了目标设备，使其不可用，思科认为黑客只是滥用智能安装协议本身来覆盖设备配置，而不是利用漏洞。

该公司解释说：“思科智能安装协议可能被滥用，以修改TFTP服务器设置、通过TFTP过滤配置文件、修改配置文件、替换IOS映像和设置帐户，从而允许执行IOS命令”。

中国安全公司奇虎360的Netlab也证实，JHT集团发起的黑客攻击活动不涉及最近披露的代码执行漏洞，相反，该攻击是由于思科智能安装协议（Cisco smart install protocol）缺乏任何身份验证造成的，该协议于去年3月发布。

根据互联网扫描引擎Shodan的数据，互联网上仍有超过165000个系统通过TCP端口4786运行Cisco Smart Install Client。

由于Smart Install Client旨在允许对Cisco交换机进行远程管理，因此系统管理员需要启用它，但应使用接口访问控制列表（ACL）限制其访问。

完全不使用Cisco智能安装功能的管理员应使用配置命令，“没有vstack”。

尽管最近的攻击与CVE-2018-0171无关，但仍然强烈建议管理员安装补丁来解决该漏洞，因为互联网上已经有技术细节和概念验证（PoC），黑客可以利用该漏洞轻松发起下一次攻击。