思科近日发布新安全公告称,攻击者可通过思科IOS设备上传ROMMON(IOS引导程序)镜像获取整台设备的控制权限。然而令人尴尬的是,这枚思科官方发布的安全预警未被CVE认可。
漏洞成因
ROMMON一般用于初始化思科IOS(它可以算是加载系统的小系统),通常被网络工程师用做镜像恢复、一些特殊参数配置。当攻击者将它替换成恶意变更过的程序后,可获得该设备的最高权限。
在思科捕获到的实际案例中,攻击者是通过获取有效的管理认证信息来访问思科设备的,期间他们并没有利用任何漏洞。于是专家推测,他们是获取了管理认证后开始攻击,并上传安装了恶意ROMMON镜像。
思科公告表示:
思科应急响应中心(PSIRT)已经告知了客户这个漏洞,在观察了一部分攻击案例后,他们总结出攻击者会在获取管理权限或者物理访问权限后,将思科IOS ROMMON进行替换,然后上传安装一个恶意ROMMON镜像。
CVE并不认可…
由于手动安装升级的ROMMON是一种标准的、文档化的特性,这是为了网管能更便捷地管理网络。所以尽管思科“自曝”漏洞,但CVE拒绝给予漏洞编号。这就很尴尬了,这种做法没有被CVE认可。但大家需要注意的是,这种攻击手法确实能应用到大部分网络设备上去,不仅仅是思科。
