關於思科底層設備漏洞的風險提示

一周前曝光的思科底層設備漏洞CVE-2018-0171利用代碼正在國內互聯網上肆虐。清明小長假期間（4.6-4.7），國內多個IDC及組織機構遭到利用此漏洞的攻擊，導致網路不可用，影響了業務連續性。

據了解，有用戶設備直連公網遭到攻擊，配置信息被清空，交換機癱瘓導致業務網路不可用，更換設備後才恢復正常。4月7日下午5點，CNCERT旗下CNVD漏洞平台緊急發布安全公告，對思科Smart Install遠程命令執行漏洞進行預警，正文如下：

CNCERT：Cisco Smart Install遠程命令

執行漏洞安全公告

安全公告編號:CNTA-2018-0013

2018年3月29日，國家信息安全漏洞共享平台（CNVD）收錄了Cisco Smart Install遠程命令執行漏洞（CNVD-2018-06774，對應CVE-2018-0171）。綜合利用上述漏洞，允許未經身份驗證的遠程攻擊者向遠端Cisco設備的 TCP 4786 埠發送精心構造的惡意數據包，觸發漏洞造成設備遠程執行Cisco系統命令或拒絕服務（DoS）。目前，漏洞利用代碼已公開，且廠商已發布漏洞修復版本。

一、漏洞情況分析

Smart Install 作為一項即插即用配置和鏡像管理功能，為新加入網路的交換機提供零配置部署，實現了自動化初始配置和操作系統鏡像載入的過程，同時還提供配置文件的備份功能。

Cisco SmartInstall存在遠程命令執行漏洞，SMI IBC Server Process進程中包含了Smart Install Client的實現代碼。Smart InstallClient在TCP（4786）埠上開啟服務（默認開啟），用來與 Smart Install Director 交互。當服務處理一段特殊構造的惡意信息ibd_init_discovery_msg時，因為未能檢查拷貝到固定大小緩衝區的數據尺寸，大小和數據是直接從網路數據包中獲得的，並由攻擊者控制，smi_ibc_handle_ibd_init_discovery_msg函數在處理該數據包時會觸發緩衝區棧溢出造成設備拒絕服務（DoS）或遠程執行Cisco系統命令。

CNVD對上述漏洞的綜合評級為「高危」。

二、漏洞影響範圍

支持 SmartInstall Client模式的交換機受此漏洞影響，包括但不限於以下：

Catalyst 4500Supervisor Engines

Catalyst 3850Series

Catalyst 3750Series

Catalyst 3650Series

Catalyst 3560Series

Catalyst 2960Series

Catalyst 2975Series

IE 2000

IE 3000

IE 3010

IE 4000

IE 5000

SM-ES2 SKUs

SM-ES3 SKUs

NME-16ES-1G-P

SM-X-ES3 SKUs

三、漏洞修復建議

遠程自查方法A：

確認目標設備是否開啟4786/TCP埠，如果開啟則表示可能受到影響。

比如用nmap掃描目標設備埠：

nmap -p T:4786 192.168.1.254

遠程自查方法B：

使用Cisco提供的腳本探測是否開放Cisco Smart Install協議，若開啟則可能受到影響。

# pythonsmi_check.py -i 192.168.1.254

本地自查方法A：（需登錄設備）

此外，可以通過以下命令確認是否開啟 Smart Install Client 功能：

switch>show vstack config

Role:Client (SmartInstall enabled)

Vstack Director IP address: 0.0.0.0

switch>show tcp brief all

TCB Local Address Foreign Address (state)

0344B794 *.4786 *.* LISTEN

0350A018 *.443 *.* LISTEN

03293634 *.443 *.* LISTEN

03292D9C *.80 *.* LISTEN

03292504*.80 *.* LISTEN

本地自查方法B：（需登錄設備）

switch>show version

將回顯內容保存在a.txt中，並上傳至Cisco的CiscoIOS Software Checker進行檢測。

檢測地址：

https://tools.cisco.com/security/center/softwarechecker.x

修復方法：

升級補丁：

思科官方已發布針對此漏洞的補丁但未提供下載鏈接，詳細修復方案如下：

臨時處置措施：(關閉協議)

switch#conf t

switch(config)#no vstack

switch(config)#do wr

switch(config)#exit

檢查埠已經關掉：

switch>show tcp brief all

TCB Local Address Foreign Address (state)

0350A018 *.443 *.* LISTEN

03293634 *.443 *.* LISTEN

03292D9C *.80 *.* LISTEN

03292504*.80 *.* LISTEN

附：參考鏈接

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixed

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2

https://embedi.com/blog/cisco-smart-install-remote-code-execution/

http://www.cnvd.org.cn/flaw/show/CNVD-2018-06774

天津市網信辦提示廣大互聯網用戶和企業採取有效措施進行防控：及時按照上述方法開展自查，下載安裝針對漏洞的補丁，避免出現網路安全事故。

來源：「互聯網安全內參」微信公號

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！