骇客滥用CiscoSmartInstall协定，伊朗3500台交换器遭骇

骇客于上周针对思科的Smart Install功能发动攻击，目前主要传出灾情的是伊朗的ISP业者与资料中心，骇客在执行Smart Install的交换器配置档中写下“别来搅和我们的选举”（Do not mess with our elections），并留下美国国旗的图样，接着交换器便无法运作。

Smart Install为IOS平台上的随插即用的配置既映像管理功能，可零接触（zero-touch）部署新的思科设备，特别是交换器，客户只要把交换器放置在特定的网络中，打开电源，无需进行配置就能运作。

思科在今年2月即曾警告，Smart Install可能会被滥用以变更TFTP服务器设定并取得配置档案，接着修改配置档案，置换IOS映像，并建立账号以执行IOS命令。迄今思科仍认为上述并非安全漏洞，而只是遭到滥用。

而上周，伊朗的通讯暨资讯部门即宣称该国境内的3,500台交换器遭到骇客攻击，思科亦证实此事，表示已接获不同国家的多项攻击报告。而根据Shodan的搜寻结果，全球因Smart Install而陷于被骇风暴中的思科装置约为16.5万台，其中有4.6万台位于美国、1.2万台位于俄罗斯，还有1万台位于中国。

IT管理人员可输入“show vstack config”指令来判断交换器上的Smart Install功能是否被启用，若答案是肯定的，只要执行“no vstack”指令就能关闭它，若缺乏此一选项，则可严格限制Smart Install界面的存取以避免遭到骇客开采。

思科暗示相关的攻击行动可能来自俄罗斯，美国电脑紧急事件应变小组（United States Computer Emergency Readiness Team，US-CERT）才在3月中指责俄罗斯政府针对美国的重大基础建设展开网络攻击。

另一方面，骇客却向Motherboard透露，他们已厌倦了由政府支撑的骇客于美国及其它国家所展开的攻击行动，他们的确在全球找到许多可攻击的系统，但此次攻击只锁定俄国与伊朗。目前并无法确定这是否为骇客所抛出的烟雾弹。

思科表示，迄今只观察到骇客滥用了Smart Install功能，而未牵涉到日前所修补的CVE-2018-0171漏洞，CVE-2018-0171漏洞同样位于Smart Install中，可能带来远端程式攻击，且概念性攻击程式亦已被发表，思科呼吁用户在缓解Smart Install被误用之际也应尽速修补CVE-2018-0171。