2018年3月28日,Cisco IOS以及IOS XE软件被发现存在一个严重漏洞CVE-2018-0171。攻击者可以在未授权的情况下通过重新加载(reload)设备造成拒绝服务条件,或者远程执行代码。Smart Install是为新的LAN以太网交换机提供零触摸部署的即插即用配置和图形管理功能,在TCP端口4786上运行的Cisco专用协议,若设备启用了Smart Install功能且对外开放4786端口,攻击者就可通过发送畸形Smart Install报文来利用此漏洞,使得设备缓冲区溢出,导致拒绝服务乃至远程代码执行等后果。
相关链接:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2
4月8日,攻击者疑似利用了思科IOS/IOS XE远程代码执行漏洞cve-2018-0171进行大范围攻击,其中包括国内多个机构,遭受攻击的企业会导致设备瘫痪,同时配置文件被修改。
所爆出的漏洞影响所有运行Cisco IOS或IOS XE软件并且开启了智能安装(Smart Install)特性的设备,详情请参考Cisco官方通告:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2
目前已知受影响设备/软件为:
确认受影响的设备型号:
可能受影响的设备型号:
漏洞影响的是启用了Smart Install功能的设备,在TCP端口4786上运行的Cisco专用协议,当4780端口开放于外网时,可造成更大的影响,建议通过如下方案进行排查:
检测目标设备是否开启4786/TCP端口,使用nmap扫描目标设备端口,如果开启则可能受到影响。
nmap -p T:4786 192.168.1.0/24
Cisco针对Smart Install功能提供最佳安全实践建议,并提供了Smart Install功能的安全检查脚本,下载链接:https://github.com/Cisco-Talos/smi_check
检测方法如下:
# python smi_check.py -i 192.168.1.2
[INFO] Sending TCP probe to targetip:4786
[INFO] Smart Install Client feature active on targetip:4786
[INFO] targetip is affected
在设备的EXEC指令中输入 show vstack config 可以查询设备是否开启了Smart Install。若返回结果为 Role: Client (SmartInstall enabled) 或者Oper Mode: Enabled 则表示设备开启了Smart Install,设备存在风险。
管理员用户可以登录到设备后再CLI中输入show version来查询设备版本,通过影响版本判断设备是否在影响范围内。
ios-xe-device# show version
Cisco IOS Software, Catalyst L3 Switch Software (CAT3K_CAA-UNIVERSALK9-M), Version Denali 16.2.1, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2016 by Cisco Systems, Inc.
Compiled Sun 27-Mar-16 21:47 by mcpre
利用该版本信息,用户可以在Cisco官方确认是否受漏洞影,参考链接如下:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2
访问上述链接,将版本号输入文本框后点击"Check"按钮,以16.2.1为例,如下图所示。
之后弹出的页面中会列出该版本可能存在的相关漏洞,如果看到存在如下图红框的所示的漏洞名称,说明该设备存在风险。
除手动输入版本进行查询外,Cisco官方也提供了show version信息直接查询的方式,将show version命令执行后的版本信息保存到a.txt文件中,访问Cisco官方的Cisco IOS Software Checker在线检测,参考链接如下:https://tools.cisco.com/security/center/softwarechecker.x
将a.txt文件上传,进行在线检测。
详细的使用说明可参考如下视频教程:
https://players.brightcove.net/1384193102001/41XYD7gTx_default/index.html?directedMigration=true&videoId=5755100470001&;
Cisco官方已经发布了更新补丁修复了上述漏洞,但未公开补丁的下载链接,用户可凭借已经购买的Cisco license申请升级服务,请受影响的企业应及时与Cisco官方联系,获取最新的补丁程序升级进行防护。
请相关企业评估是否需要Smart Install服务,如果确定不需要,可依次输入如下命令可关闭服务:
switch#conf t
switch(config)#no vstack
switch(config)#do wr
switch(config)#exit
Cisco针对Smart Install功能提供了以下针对性的安全建议。
通过show vstack命令查看Smart Install功能的状态,被禁用时的显示如下图所示:
部署完成后,使用no vstack命令禁用Smart Install功能;
对于不支持vstack命令的设备(低于Cisco IOS Release 12.2(55)SE02版本),在交换机上通过配置ACL阻断4786端口访问的方式进行防护。
配置ACL,限定白名单的设备可访问4786端口,参考如下:
ip access-list extended SMI_HARDENING_LIST
permit tcp host 10.10.10.1 host 10.10.10.200 eq 4786
deny tcp any any eq 4786
permit ip any any
详细信息可参考链接如下:
如果觉得我的文章对您有用,请点赞。您的支持将鼓励我继续创作!
赞5
添加新评论1 条评论
2018-04-10 14:26