新聞媒體上幾乎天天都有關於漏洞的新聞爆出。一般情況下,漏洞會在互聯網上引起熱烈討論,在開發者發佈相關補丁後,一切漸漸平息。看起來似乎萬事大吉,問題也得到了解決,但事實卻並非如此。不是所有管理員都會安裝更新,尤其是涉及到網路設備軟體的更新。更新通常需要的工作量很大。

有些系統管理員認為自己的企業不會成為駭客的目標。有些管理員則會掃視官方安全建議中是否有”沒有漏洞存在的跡象”這樣的語句,若是沒有,就放心不管,認為這只是理論上的漏洞。
去年,思科設備報告了幾個嚴重漏洞。其中一個是Cisco IOS和IOS XE作業系統中的SNMP遠端代碼執行漏洞(諮詢ID:cisco-sa-20170629-snmp),這個漏洞說明了外部人員可能如何獲得對系統的完全控制權。他們唯一需要的是相關系統的SNMP唯讀社區字串(一種使用者ID或密碼)。自2017年7月以來,這個問題已經廣為人知。思科也嚴肅對待這些漏洞,並迅速進行了修補,因此沒有檢測到任何利用這些漏洞的企圖。
我們的同事Artem Kondratenko是一名滲透測試專家。在他執行的一次外部滲透測試中,發現了一個帶有預設SNMP社區字串的Cisco路由器。他決定研究下這個漏洞到底有多危險。為此,他設定了一個目標:通過該路由器訪問內部網路。順便說一句,Kondratenko的發現並不是獨一無二的。Shodan列出了使用預設社區字串的3,313部相同型號設備。
不過,我們暫且不談技術細節。如果你想更好地瞭解他開展的研究,請觀看Kondratenko在混沌通訊大會上發表的演講。重要的是他所得出的最終結果。他證明了可以利用這個漏洞以第15級許可權來訪問系統,這是思科IOS shell的最高存取權限。所以,因為沒有檢測到此漏洞,而就此忽略該漏洞可就大錯特錯了。Kondratenko從發現有漏洞的設備到創建利用cisco-sa-20170629-snmp的概念證明僅用了四周時間。
為了確保您的路由器不會成為此漏洞的第一個受害者,明智的做法是:
1.確保您的網路設備軟體是最新的;
2.不要在連接到外部網路的路由器上使用預設社區字串(最好避免使用預設社區字串);
3.密切關注網路設備的使用壽命聲明 – 壽命到期後,製造商不會再提供支持,因此不可能收到任何更新。
資料來源:https://www.kaspersky.com/blog/router-vulnerability-34c3/20747/