上周，俄羅斯和伊朗多個網絡基礎設施遭到攻擊，攻擊涉及全球200000只路由器交換機，美國服務器租用，包括伊朗的3500只交換機。攻擊者疑似利用了思科IOS/IOS XE遠程代碼執行漏洞cve-2018-0171。而就在今天，國內多個機構遭受同樣的攻擊。根據國外的案例，遭受攻擊的企業，除了設備癱瘓之外，屏幕上還顯示出美國國旗。

FreeBuf曾報告過這個漏洞的詳細分析，是Embedi 安全公司研究員在 Smart Install Client 代碼中發現一個緩沖區堆棧溢出漏洞。攻擊者利用這個漏洞可以不經身份驗證遠程執行任意代碼。也就是說，攻擊者能夠完全控制受漏洞影響的網絡設備。

在思科發布漏洞預警之時，全球受影響的設備高達850萬，當然也包括國內。

根據俄羅斯和伊朗所遭受攻擊的情況了來看， 黑客攻擊導致設備癱瘓之后，還留下了字條稱：“不要干涉我們的選舉”，同時還附上美國國旗。

根據外媒Motherboard報道，域名購買 directadmin購買， 黑客通過控制的電子郵件闡述了此次攻擊的目的：我們厭倦了有政府支持的針對美國或者其他國家的網絡攻擊。甚至還略帶自豪的表示：“多虧我們的努力，很多國家已經沒有易受攻擊的設備了”。

專家推測，這次大范圍的網絡攻擊應該是由民間發起，以此來表示對俄羅斯干涉美國大選的不滿。

就在今天，多個用戶在社交媒體上表示自己公司紛紛中招。借此提醒國內其他廠商和機構盡快打好補丁，降低風險。

經驗證存在漏洞的設備包括：Catalyst 4500Supervisor Engines、Cisco Catalyst 3850 SeriesSwitches 和 CiscoCatalyst 2960 Series Switches。

Cisco Catalyst 4500 SupervisorEngine 6L-E

Cisco IOS 15.2.2E6 (Latest,Suggested)

cat4500e-entservicesk9-mz.152-2.E6.bin(23-DEC-2016)

Cisco Catalyst 2960-48TT-L Switch

Cisco IOS 12.2(55)SE11 (Suggested)

c2960-lanbasek9-mz.122-55.SE11.bin(18-AUG-2016)

Cisco IOS 15.0.2-SE10a (Latest)

c2960-lanbasek9-mz.150-2.SE10a.bin(10-NOV-2016)

Cisco Catalyst 3850-24P-E Switch

Cisco IOS-XE 03.03.05.SE

cat3k_caa-universalk9.SPA.03.03.05.SE.150-1.EZ5.bin(03-NOV-2014)

此外，所有具備 Smart Install Client 的設備都可能受到漏洞影響，包括下列：

Catalyst 4500 Supervisor Engines

Catalyst 3850 Series

Catalyst 3750 Series

Catalyst 3650 Series

Catalyst 3560 Series

Catalyst 2960 Series

Catalyst 2975 Series

IE 2000

IE 3000

IE 3010

IE 4000