關於思科底層設備漏洞的風險提示
一周前曝光的思科底層設備漏洞CVE-2018-0171利用代碼正在國內互聯網上肆虐。清明小長假期間(4.6-4.7),國內多個IDC及組織機構遭到利用此漏洞的攻擊,導致網路不可用,影響了業務連續性。
據了解,有用戶設備直連公網遭到攻擊,配置信息被清空,交換機癱瘓導致業務網路不可用,更換設備後才恢復正常。4月7日下午5點,CNCERT旗下CNVD漏洞平台緊急發布安全公告,對思科Smart Install遠程命令執行漏洞進行預警,正文如下:
CNCERT:Cisco Smart Install遠程命令
執行漏洞安全公告
安全公告編號:CNTA-2018-0013
2018年3月29日,國家信息安全漏洞共享平台(CNVD)收錄了Cisco Smart Install遠程命令執行漏洞(CNVD-2018-06774,對應CVE-2018-0171)。綜合利用上述漏洞,允許未經身份驗證的遠程攻擊者向遠端Cisco設備的 TCP 4786 埠發送精心構造的惡意數據包,觸發漏洞造成設備遠程執行Cisco系統命令或拒絕服務(DoS)。目前,漏洞利用代碼已公開,且廠商已發布漏洞修復版本。
一、漏洞情況分析
Smart Install 作為一項即插即用配置和鏡像管理功能,為新加入網路的交換機提供零配置部署,實現了自動化初始配置和操作系統鏡像載入的過程,同時還提供配置文件的備份功能。
Cisco SmartInstall存在遠程命令執行漏洞,SMI IBC Server Process進程中包含了Smart Install Client的實現代碼。Smart InstallClient在TCP(4786)埠上開啟服務(默認開啟),用來與 Smart Install Director 交互。當服務處理一段特殊構造的惡意信息ibd_init_discovery_msg時,因為未能檢查拷貝到固定大小緩衝區的數據尺寸,大小和數據是直接從網路數據包中獲得的,並由攻擊者控制,smi_ibc_handle_ibd_init_discovery_msg函數在處理該數據包時會觸發緩衝區棧溢出造成設備拒絕服務(DoS)或遠程執行Cisco系統命令。
CNVD對上述漏洞的綜合評級為「高危」。
二、漏洞影響範圍
支持 SmartInstall Client模式的交換機受此漏洞影響,包括但不限於以下:
Catalyst 4500Supervisor Engines
Catalyst 3850Series
Catalyst 3750Series
Catalyst 3650Series
Catalyst 3560Series
Catalyst 2960Series
Catalyst 2975Series
IE 2000
IE 3000
IE 3010
IE 4000
IE 5000
SM-ES2 SKUs
SM-ES3 SKUs
NME-16ES-1G-P
SM-X-ES3 SKUs
三、漏洞修復建議
遠程自查方法A:
確認目標設備是否開啟4786/TCP埠,如果開啟則表示可能受到影響。
比如用nmap掃描目標設備埠:
nmap -p T:4786 192.168.1.254
遠程自查方法B:
使用Cisco提供的腳本探測是否開放Cisco Smart Install協議,若開啟則可能受到影響。
# pythonsmi_check.py -i 192.168.1.254
本地自查方法A:(需登錄設備)
此外,可以通過以下命令確認是否開啟 Smart Install Client 功能:
switch>show vstack config
Role:Client (SmartInstall enabled)
Vstack Director IP address: 0.0.0.0
switch>show tcp brief all
TCB Local Address Foreign Address (state)
0344B794 *.4786 *.* LISTEN
0350A018 *.443 *.* LISTEN
03293634 *.443 *.* LISTEN
03292D9C *.80 *.* LISTEN
03292504*.80 *.* LISTEN
本地自查方法B:(需登錄設備)
switch>show version
將回顯內容保存在a.txt中,並上傳至Cisco的CiscoIOS Software Checker進行檢測。
檢測地址:
https://tools.cisco.com/security/center/softwarechecker.x
修復方法:
升級補丁:
思科官方已發布針對此漏洞的補丁但未提供下載鏈接,詳細修復方案如下:
臨時處置措施:(關閉協議)
switch#conf t
switch(config)#no vstack
switch(config)#do wr
switch(config)#exit
檢查埠已經關掉:
switch>show tcp brief all
TCB Local Address Foreign Address (state)
0350A018 *.443 *.* LISTEN
03293634 *.443 *.* LISTEN
03292D9C *.80 *.* LISTEN
03292504*.80 *.* LISTEN
附:參考鏈接
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixed
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2
https://embedi.com/blog/cisco-smart-install-remote-code-execution/
http://www.cnvd.org.cn/flaw/show/CNVD-2018-06774
天津市網信辦提示廣大互聯網用戶和企業採取有效措施進行防控:及時按照上述方法開展自查,下載安裝針對漏洞的補丁,避免出現網路安全事故。
來源:「互聯網安全內參」微信公號
TAG:網信天津 |