聚焦源代码安全,网罗国内外最新资讯!
作者:360威胁情报中心、360安全监测与响应中心
2018年3月28日,Cisco发布了一个远程代码执行严重漏洞通告。通告了思科IOS和IOS-XE系统的配置管理类协议Cisco Smart Install(Cisco私有协议)代码中存在一处缓冲区栈溢出漏洞,漏洞编号为CVE-2018-0171。攻击者无需用户验证即可向远端Cisco设备的 TCP 4786 端口发送精心构造的恶意数据包,触发漏洞造成设备远程执行Cisco系统命令或拒绝服务(DoS)。
漏洞相关的技术细节和验证程序已经公开,且互联网上受影响的主机数量非常大。由于此漏洞影响底层网络设备,且漏洞相关PoC已经公开并证实可用,极有可能构成巨大的现实威胁。
2018年4月7日凌晨有IDC运营商报告有大量Cisco设备遭到疑似利用此漏洞的攻击,导致设备配置被清空的情况。
360安全监测与响应中心提醒用户和企业尽快采取必要防御应对措施以保证网络的可用性。文档信息
文档名称 |
Cisco IOS 与 IOS XE Software Smart Install远程命令执漏洞(CVE-2018-0171)安全预警通告 |
关键字 |
远程代码执行、Cisco Smart Install |
发布日期 |
2018年4月8日 |
分析团队 |
360威胁情报中心、360安全监测与响应中心 |
漏洞信息
漏洞名称 |
Cisco IOS与IOS XE Software Smart Install远程命令执行漏洞 |
|||||
威胁类型 |
远程代码执行 |
威胁等级 |
高 |
漏洞ID |
CVE-2018-0171 |
|
漏洞利用条件 |
||||||
开启了Cisco Smart Install管理协议,且模式为client模式 |
||||||
漏洞利用场景 |
||||||
攻击者无需用户验证即可向远端Cisco设备的TCP 4786端口发送精心构造的恶意数据包,触发漏洞造成设备远程执行Cisco系统命令或拒绝服务(DoS)。 |
||||||
服务是否默认开启 |
是 |
|||||
受影响系统及应用版本 |
||||||
确认受影响的型号: Catalyst 4500 Supervisor Engines Cisco Catalyst 3850 Series Switches Cisco Catalyst 2960 Series Switches 可能受影响的设备型号: Catalyst 4500 Supervisor Engines Catalyst 3850 Series Catalyst 3750 Series Catalyst 3650 Series Catalyst 3560 Series Catalyst 2960 Series Catalyst 2975 Series IE 2000 IE 3000 IE 3010 IE 4000 IE 4010 IE 5000 SM-ES2 SKUs SM-ES3 SKUs NME-16ES-1G-P SM-X-ES3 SKUs |
||||||
不受影响影响系统及应用版本 |
||||||
未开启Cisco Smart Install管理协议或模式为Director模式的Cisco设备均不受影响。 |
||||||
漏洞描述
Smart Install 作为一项即插即用配置和镜像管理功能,为新加入网络的交换机提供零配置部署,实现了自动化初始配置和操作系统镜像加载的过程,同时还提供配置文件的备份功能。
风险等级
360安全监测与响应中心风险评级为:高危
预警等级:蓝色预警(一般网络安全预警)
影响范围
支持 SmartInstall Client模式的交换机受此漏洞影响,包括但不限于以下:
Catalyst 4500Supervisor Engines
Catalyst 3850 Series
Catalyst 3750 Series
Catalyst 3650 Series
Catalyst 3560 Series
Catalyst 2960 Series
Catalyst 2975 Series
IE 2000
IE 3000
IE 3010
IE 4000
IE 4010
IE 5000
SM-ES2 SKUs
SM-ES3 SKUs
NME-16ES-1G-P
SM-X-ES3 SKUs
根据CNVD发布的公告显示,全球Cisco Smart Install系统规模为14.3万;按国家分布情况来看,用户量排名前三的分别是美国(29%)、中国(11%)和日本(6%)。
处置建议
自查方法
远程自查方法A:
确认目标设备是否开启4786/TCP端口,如果开启则表示可能受到影响。
比如用nmap扫描目标设备端口:
nmap -p T:4786 192.168.1.254
远程自查方法B:
使用Cisco提供的脚本探测是否开放Cisco Smart Install协议,若开启则可能受到影响。
# python smi_check.py -i 192.168.1.254
[INFO] Sending TCP probe to targetip:4786
[INFO] Smart Install Client feature active on targetip:4786
[INFO] targetip is affected。
本地自查方法A:(需登录设备)
此外,可以通过以下命令确认是否开启 Smart Install Client 功能:
switch>show vstack config
Role: Client (SmartInstall enabled)
Vstack Director IP address: 0.0.0.0
switch>show tcp brief all
TCB Local Address Foreign Address (state)
0344B794 *.4786 *.* LISTEN
0350A018 *.443 *.* LISTEN
03293634 *.443 *.* LISTEN
03292D9C *.80 *.* LISTEN
03292504 *.80 *.* LISTEN
本地自查方法B:(需登录设备)
switch>show version
将回显内容保存在a.txt中,并上传至Cisco的Cisco IOS Software Checker进行检测。
检测地址:https://tools.cisco.com/security/center/softwarechecker.x临时处置措施
临时处置措施:(关闭协议)
switch#conf t
switch(config)#no vstack
switch(config)#do wr
switch(config)#exit
检查端口已经关掉:
switch>show tcp brief all
TCB Local Address Foreign Address (state)
0350A018 *.443 *.* LISTEN
03293634 *.443 *.* LISTEN
03292D9C *.80 *.* LISTEN
03292504 *.80 *.* LISTEN修复方法
升级补丁:
思科官方已发布针对此漏洞的补丁但未提供下载链接,请联系思科获取补丁。参考资料
[1] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixed
[2] https://embedi.com/blog/cisco-smart-install-remote-code-execution/
[3] http://www.cnvd.org.cn/flaw/show/CNVD-2018-06774
时间线
[1] 2017-3-28 Cisco发布通告
[2] 2017-3-29 360 安全监测与响应中心关注到本次事件
[3] 2018-4-7 有IDC运营商报告大量Cisco设备遭到疑似利用此漏洞的攻击
[4] 2018-4-8 360安全监测与响应中心发布预警通
转载请注明 “转自360代码卫士www.codesafe.cn”。