【漏洞预警】 思科底层网络设备爆严重漏洞,互联网上或再掀血雨腥风
【漏洞预警】 思科底层网络设备爆严重漏洞,互联网上或再掀血雨腥风
2018年3月28日,Cisco发布了一个远程代码执行严重漏洞通告。通告了思科IOS和IOS-XE系统的配置管理类协议Cisco Smart Install(Cisco私有协议)代码中存在一处缓冲区栈溢出漏洞,漏洞编号为CVE-2018-0171。攻击者无需用户验证即可向远端Cisco设备的 TCP 4786 端口发送精心构造的恶意数据包,触发漏洞造成设备 远程执行Cisco系统命令或拒绝服务(DoS) 。
漏洞相关的技术细节和验证程序已经公开,且互联网上受影响的主机数量非常大。由于此漏洞影响底层网络设备,且漏洞相关PoC已经公开并证实可用,极有可能构成巨大的现实威胁。故发布此通告提醒用户和企业采取必要防御应对措施。
| 漏洞名称 | CVE-2018-0171 Cisco Smart Install命令执行漏洞 |
|---|---|
| 威胁类型 | 远程代码执行 |
| 威胁等级 | 高 |
| 漏洞ID | CVE-2018-0171 |
| 漏洞利用条件 | 开启了Cisco Smart Install管理协议,且模式为client模式 |
| 漏洞利用场景 | 攻击者无需用户验证即可向远端Cisco设备的TCP 4786端口发送精心构造的恶意数据包,触发漏洞造成设备远程执行Cisco系统命令或拒绝服务(DoS)。 |
| 服务是否默认开启 | 是 |
| 受影响系统及应用版本 | 确认受影响的型号:Catalyst 4500 Supervisor Engines Cisco Catalyst 3850 Series Switches Cisco Catalyst 2960 Series Switches 确认受影响的型号:Catalyst 4500 Supervisor Engines Cisco Catalyst 3850 Series Switches Cisco Catalyst 2960 Series Switches 可能受影响的设备型号:Catalyst 4500 Supervisor Engines Catalyst 3850 Series Catalyst 3750 Series Catalyst 3650 Series Catalyst 3560 Series Catalyst 2960 Series Catalyst 2975 SeriesIE 2000 IE 3000 IE 3010 IE 4000IE 4010 IE 5000 SM-ES2 SKUs SM-ES3 SKUs NME-16ES-1G-P SM-X-ES3 SKUs |
| 不受影响影响系统及应用版本 | 未开启Cisco Smart Install管理协议或模式为Director模式的Cisco设备均不受影响。 |
漏洞描述
该漏洞存在于思科IOS和IOS-XE系统的配置管理类协议Cisco Smart Install一处缓冲区栈内。攻击者无需认证,远程向开启TCP 4786 且为client模式的Cisco设备端口发送精心构造的畸形数据包,会导致smi_ibc_handle_ibd_init_discovery_msg函数在处理该数据包时触发缓冲区栈溢出造成设备拒绝服务(DoS)或远程执行Cisco系统命令。
处置建议
远程自查方法A
确认目标设备是否开启4786/TCP端口,如果开启则表示可能受到影响。
比如用nmap扫描目标设备端口:
nmap -p T:4786 192.168.1.254
远程自查方法B
使用Cisco提供的脚本探测是否开放Cisco Smart Install协议,若开启则可能受到影响。
pythonsmi_check.py -i 192.168.1.254
[INFO] Sending TCP probe to targetip:4786
[INFO] Smart Install Client feature active on targetip:4786
[INFO]targetip is affected。
本地自查方法A:(需登录设备)
此外,可以通过以下命令确认是否开启 Smart Install Client 功能:
switch>show vstack config
Role: Client (SmartInstall enabled)
Vstack Director IP address: 0.0.0.0
switch>show tcp brief all
TCB Local Address Foreign Address (state)
0344B794 .4786.* LISTEN
0350A018 .443.* LISTEN
03293634 .443.* LISTEN
03292D9C .80.* LISTEN
03292504*.80*.* LISTEN
本地自查方法B:(需登录设备)
switch>show version
将回显内容保存在a.txt中,并上传至Cisco的Cisco IOS Software Checker进行检测。
检测地址:https://tools.cisco.com/security/center/softwarechecker.x
修复方法
升级补丁:
思科官方已发布针对此漏洞的补丁但未提供下载链接,请联系思科获取补丁。
临时处置措施:(关闭协议)
switch#conf t
switch(config)#no vstack
switch(config)#do wr
switch(config)#exit
检查端口已经关掉:
switch>show tcp brief all
TCB Local Address Foreign Address (state)
0350A018 .443.* LISTEN
03293634 .443.* LISTEN
03292D9C .80.* LISTEN
03292504*.80*.* LISTEN
参考资料
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixed
https://embedi.com/blog/cisco-smart-install-remote-code-execution
声明:本文来自CNNVD安全动态,版权归作者所有。文章内容仅代表作者独立观点,不代表深圳汇安科技立场,转载目的在于传递更多信息。如有侵权,请联系 13570058253@139.com。