天津在线

首页> 资讯中心> 天津> 正文

关于思科底层设备漏洞的风险提示

一周前曝光的思科底层设备漏洞CVE-2018-0171利用代码正在国内互联网上肆虐。清明小长假期间(4.6-4.7),国内多个IDC及组织机构遭到利用此漏洞的攻击,导致网络不可用,影响了业务连续性。

据了解,有用户设备直连公网遭到攻击,配置信息被清空,交换机瘫痪导致业务网络不可用,更换设备后才恢复正常。4月7日下午5点,CNCERT旗下CNVD漏洞平台紧急发布安全公告,对思科Smart Install远程命令执行漏洞进行预警,正文如下:

CNCERT:Cisco Smart Install远程命令

执行漏洞安全公告 安全公告编号:CNTA-2018-0013

2018年3月29日,国家信息安全漏洞共享平台(CNVD)收录了Cisco Smart Install远程命令执行漏洞(CNVD-2018-06774,对应CVE-2018-0171)。综合利用上述漏洞,允许未经身份验证的远程攻击者向远端Cisco设备的 TCP 4786 端口发送精心构造的恶意数据包,触发漏洞造成设备远程执行Cisco系统命令或拒绝服务(DoS)。目前,漏洞利用代码已公开,且厂商已发布漏洞修复版本。

一、漏洞情况分析

Smart Install 作为一项即插即用配置和镜像管理功能,为新加入网络的交换机提供零配置部署,实现了自动化初始配置和操作系统镜像加载的过程,同时还提供配置文件的备份功能。

Cisco SmartInstall存在远程命令执行漏洞,SMI IBC Server Process进程中包含了Smart Install Client的实现代码。Smart InstallClient在TCP(4786)端口上开启服务(默认开启),用来与 Smart Install Director 交互。当服务处理一段特殊构造的恶意信息ibd_init_discovery_msg时,因为未能检查拷贝到固定大小缓冲区的数据尺寸,大小和数据是直接从网络数据包中获得的,并由攻击者控制,smi_ibc_handle_ibd_init_discovery_msg函数在处理该数据包时会触发缓冲区栈溢出造成设备拒绝服务(DoS)或远程执行Cisco系统命令。

CNVD对上述漏洞的综合评级为“高危”。

二、漏洞影响范围

支持 SmartInstall Client模式的交换机受此漏洞影响,包括但不限于以下:

Catalyst 4500Supervisor Engines

Catalyst 3850Series

Catalyst 3750Series

Catalyst 3650Series

Catalyst 3560Series

Catalyst 2960Series

Catalyst 2975Series

IE 2000

IE 3000

IE 3010

IE 4000

IE 5000

SM-ES2 SKUs

SM-ES3 SKUs

NME-16ES-1G-P

SM-X-ES3 SKUs

三、漏洞修复建议

远程自查方法A:

确认目标设备是否开启4786/TCP端口,如果开启则表示可能受到影响。

比如用nmap扫描目标设备端口:

nmap -p T:4786 192.168.1.254

远程自查方法B:

使用Cisco提供的脚本探测是否开放Cisco Smart Install协议,若开启则可能受到影响。

# pythonsmi_check.py -i 192.168.1.254

本地自查方法A:(需登录设备)

此外,可以通过以下命令确认是否开启 Smart Install Client 功能:

switch>show vstack config

Role:Client (SmartInstall enabled)

Vstack Director IP address: 0.0.0.0

switch>show tcp brief all

TCB Local Address Foreign Address (state)

0344B794 *.4786 *.* LISTEN

0350A018 *.443 *.* LISTEN

03293634 *.443 *.* LISTEN

03292D9C *.80 *.* LISTEN

03292504*.80 *.* LISTEN

本地自查方法B:(需登录设备)

switch>show version

将回显内容保存在a.txt中,并上传至Cisco的CiscoIOS Software Checker进行检测。

检测地址:

https://tools.cisco.com/security/center/softwarechecker.x

修复方法:

升级补丁:

思科官方已发布针对此漏洞的补丁但未提供下载链接,详细修复方案如下:

临时处置措施:(关闭协议)

switch#conf t

switch(config)#no vstack

switch(config)#do wr

switch(config)#exit

检查端口已经关掉:

switch>show tcp brief all

TCB Local Address Foreign Address (state)

0350A018 *.443 *.* LISTEN

03293634 *.443 *.* LISTEN

03292D9C *.80 *.* LISTEN

03292504*.80 *.* LISTEN

附:参考链接

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixed

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2

https://embedi.com/blog/cisco-smart-install-remote-code-execution/

http://www.cnvd.org.cn/flaw/show/CNVD-2018-06774

版权声明

一、凡注明来源为"天津在线"的所有作品文字、图片、音视频、美术设计和程序等作品,版权均属天津在线或相关权利人专属所有或持有所有。

二、未经本网书面授权,不得进行一切形式的下载、转载或建立镜像。否则以侵权论,依法追究相关法律责任。

三、凡本网注明"来源:XXX(非天津在线)"的作品,均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。

四、转载声明:如本网转载作品涉及版权等问题,请在作品于本网发表之日起30日内及时同本网联系,否则视为放弃相关权利。

免责声明:本文仅代表作者个人观点,与天津在线无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。

登载此文只为提供信息参考,并不用于任何商业目的。如有侵权,请及时联系我们删除:jubao@72177.com

今日天津