1.漏洞概述

2018年3月28日，Cisco IOS以及IOS XE软件被发现存在一个严重漏洞CVE-2018-0171。攻击者可以在未授权的情况下通过重新加载（reload）设备造成拒绝服务条件，或者远程执行代码。Smart Install是为新的LAN以太网交换机提供零触摸部署的即插即用配置和图形管理功能，在TCP端口4786上运行的Cisco专用协议，若设备启用了Smart Install功能且对外开放4786端口，攻击者就可通过发送畸形Smart Install报文来利用此漏洞，使得设备缓冲区溢出，导致拒绝服务乃至远程代码执行等后果。

相关链接：https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2

4月8日，攻击者疑似利用了思科IOS/IOS XE远程代码执行漏洞cve-2018-0171进行大范围攻击，其中包括国内多个机构，遭受攻击的企业会导致设备瘫痪，同时配置文件被修改。

2.漏洞影响

所爆出的漏洞影响所有运行Cisco IOS或IOS XE软件并且开启了智能安装（Smart Install）特性的设备，详情请参考Cisco官方通告：https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2

目前已知受影响设备/软件为：

确认受影响的设备型号：

• Catalyst 4500 Supervisor Engines
• Cisco Catalyst 3850 Series Switches
• Cisco Catalyst 2960 Series Switches

可能受影响的设备型号：

• Catalyst 4500 Supervisor Engines
• Catalyst 3850 Series
• Catalyst 3750 Series
• Catalyst 3650 Series
• Catalyst 3560 Series
• Catalyst 2960 Series
• Catalyst 2975 Series
• IE 2000
• IE 3000
• IE 3010
• IE 4000
• IE 4010
• IE 5000
• SM-ES2 SKUs
• SM-ES3 SKUs
• NME-16ES-1G-P
• SM-X-ES3 SKUs

3.影响排查

漏洞影响的是启用了Smart Install功能的设备，在TCP端口4786上运行的Cisco专用协议，当4780端口开放于外网时，可造成更大的影响，建议通过如下方案进行排查：

3.1 排查Smart Install是否开启

1.端口扫描

检测目标设备是否开启4786/TCP端口，使用nmap扫描目标设备端口，如果开启则可能受到影响。

nmap -p T:4786 192.168.1.0/24

2 Cisco Smart Install安全检测工具

Cisco针对Smart Install功能提供最佳安全实践建议，并提供了Smart Install功能的安全检查脚本，下载链接：https://github.com/Cisco-Talos/smi_check

检测方法如下：

# python smi_check.py -i 192.168.1.2
[INFO] Sending TCP probe to targetip:4786
[INFO] Smart Install Client feature active on targetip:4786
[INFO] targetip is affected

3.2 登录Cisco IOS设备自查

1.vstack配置信息判断

在设备的EXEC指令中输入 show vstack config 可以查询设备是否开启了Smart Install。若返回结果为 Role: Client (SmartInstall enabled) 或者Oper Mode: Enabled 则表示设备开启了Smart Install，设备存在风险。

2.Cisco IOS设备版本信息判断

管理员用户可以登录到设备后再CLI中输入show version来查询设备版本，通过影响版本判断设备是否在影响范围内。

ios-xe-device# show version
Cisco IOS Software, Catalyst L3 Switch Software (CAT3K_CAA-UNIVERSALK9-M), Version Denali 16.2.1, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2016 by Cisco Systems, Inc.
Compiled Sun 27-Mar-16 21:47 by mcpre

利用该版本信息，用户可以在Cisco官方确认是否受漏洞影，参考链接如下：

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2

访问上述链接，将版本号输入文本框后点击"Check"按钮，以16.2.1为例，如下图所示。

之后弹出的页面中会列出该版本可能存在的相关漏洞，如果看到存在如下图红框的所示的漏洞名称，说明该设备存在风险。

除手动输入版本进行查询外，Cisco官方也提供了show version信息直接查询的方式，将show version命令执行后的版本信息保存到a.txt文件中，访问Cisco官方的Cisco IOS Software Checker在线检测，参考链接如下：https://tools.cisco.com/security/center/softwarechecker.x

将a.txt文件上传，进行在线检测。

详细的使用说明可参考如下视频教程：

https://players.brightcove.net/1384193102001/41XYD7gTx_default/index.html?directedMigration=true&;videoId=5755100470001&;

4.解决建议

4.1 官方升级

Cisco官方已经发布了更新补丁修复了上述漏洞，但未公开补丁的下载链接，用户可凭借已经购买的Cisco license申请升级服务，请受影响的企业应及时与Cisco官方联系，获取最新的补丁程序升级进行防护。

4.2 临时防护

请相关企业评估是否需要Smart Install服务，如果确定不需要，可依次输入如下命令可关闭服务：

switch#conf t
switch(config)#no vstack
switch(config)#do wr
switch(config)#exit

4.3 Smart Install功能官方安全建议

Cisco针对Smart Install功能提供了以下针对性的安全建议。

1.禁用Smart Install功能

通过show vstack命令查看Smart Install功能的状态，被禁用时的显示如下图所示：

2.当使用Smart Install功能且只用于零触摸部署时，安全建议如下

部署完成后，使用no vstack命令禁用Smart Install功能；

对于不支持vstack命令的设备（低于Cisco IOS Release 12.2(55)SE02版本），在交换机上通过配置ACL阻断4786端口访问的方式进行防护。

3.当业务运行需要使用Smart Install功能时，安全建议如下

配置ACL，限定白名单的设备可访问4786端口，参考如下：

ip access-list extended SMI_HARDENING_LIST
permit tcp host 10.10.10.1 host 10.10.10.200 eq 4786
deny tcp any any eq 4786
permit ip any any

详细信息可参考链接如下：

https://www.cisco.com/c/en/us/td/docs/switches/lan/smart_install/configuration/guide/smart_install/concepts.html#23355