在深入挖掘维基解密所公布的美国中情局(CIA)的档案后 ，思科表示发现了一个此前不为人知的漏洞，影响到公司318台交换机。该漏洞可允许远程攻击者执行代码或重载目标设备。目前尚不清楚中情局何时发现的漏洞，受此漏洞影响的设备包括264台Catalyst交换机和50多台工业以太网交换机、嵌入式服务2020系列交换机、思科RF网关以及SM-X 2/3层EtherSwitch服务模块。

　　思科公告称其集群管理协议中出现了漏洞

　　根据思科发布的公告，有两个因素导致了集群管理协议(CMP)中出现该漏洞。

　　首先，协议未将CMP特定Telnet选项限定在“集群成员间的本地通信中，相反，对于与受影响设备建立的所有Telnet连接，均接受并处理该选项”。

　　第二个因素与处理畸形CMP特定选项有关。

　　公告中还说，

　　“攻击者可利用该漏洞，在与受影响思科设备建立Telnet会话(若该设备接受Telnet连接)时发送畸形的CMP特定Telnet选项。成功利用漏洞后，攻击者可执行任意代码，完全控制或重载设备。”

　　即便是设备没有配置集群一样存在漏洞

　　CMP特定Telnet选项默认处理，这意味着即使设备上未运行集群配置命令，攻击者仍可从IPv4或IPv6地址通过Telnet利用漏洞。思科解释，

　　“利用漏洞要求与设备建立Telnet会话，通过设备在Telnet会话中发送畸形选项不会触发漏洞。”

　　思科表示会发布软件更新修复其IOS和IOS XE系统中的漏洞，不过，并未给出具体时间，而是要求客户关注IOS Software Checker(IOS软件检查器)，以了解详细信息。

　　思科建议IT管理员用SSH替代Telnet

　　目前，思科建议管理员针对入向连接关闭Telnet协议，使用SSH，以消除漏洞攻击向量。此外，基于设备安全考虑，思科一直强烈建议用SSH替代Telnet。

　　若因某种原因无法关闭Telnet，思科建议客户使用iACL(基础设施访问控制列表)降低被攻击风险。

　　小编：似乎每次跟国家组织相关的漏洞都少不了思科，上次 影子经纪人泄露的方程式组织的思科设备漏洞 犹在耳边。联想到 2017年公安部网络安全大检查，各单位可要好好查查了。