Cisco網路設備報嚴重安全漏洞可遠程代碼執行獲取設備完全控制許可權
漏洞描述
思科IOS/IOS XE 中的智能安裝客戶端(Smart Install Client)代碼中被發現堆棧緩衝區溢出漏洞,編號為CVE-2018-0171。通過此漏洞可使攻擊者無需身份驗證即可遠程執行任意代碼,可以實現對該設備的完全控制。
智能安裝IOS/IOS XE推出的即插即用的配置和鏡像管理功能,使用它的新一代思科網路交換機可實現零接觸部署。可以實現設備配置的完全自動化,初始化配置並為其載入當前操作系統(IOS/IOS XE)鏡像。該技術還可在配置發生變化或者熱插拔操作中出現異常時自動備份。
使用智能安裝的典型網拓撲如下,包括一組網路設備端(客戶端),由一個通用的3層交換機或充當控制器的路由器提供服務。
核心交換機(控制器)為客戶端交換機的鏡像和配置提供管理入口。客戶端交換機與核心交換機直接相連或通過中繼交換機間接連接,以便可以從中接收鏡像和配置下載。
有關智能安裝技術的更多信息請查看思科官方文檔,在此不在贅述。
該漏洞存在於智能安裝客戶端的代碼中。需要注意的是,求默認會在客戶端上啟用該技術。所以漏洞覆蓋範圍和影響面很廣。
漏洞描述
SMI IBC伺服器進程進程中包括了智能安裝客戶端的啟動代碼。智能安裝客戶端默認會監聽TCP 4786埠,用於和控制器進行交互。
當伺服器處理特製惡意信息包時候ibd_init_discovery_msg,就會會發生堆棧緩衝區溢出。緩衝區溢出發生於函數smi_ibc_handle_ibd_init_discovery_msg中,因為該函數未對進入緩存去的數據大小做校驗,所以攻擊程序可以利用它對其請求(4786),請求包中網路數據包植入惡意攻擊代碼,從而獲得對路由器的控制。
漏洞影響面
影響危害級別:嚴重
影響設備主要涉及:
Catalyst 4500 Supervisor Engines、 Cisco Catalyst 3850 Series Switches、Cisco Catalyst 2960 Series Switches
部分包含智能安裝客戶端的可能受到影響設備(具體諮詢代理商或者服務商):
Catalyst 4500 Supervisor Engines、Catalyst 3850 Series、Catalyst 3750 Series、Catalyst 3650 Series、Catalyst 3560 Series、Catalyst 2960 Series、Catalyst 2975 Series,IE 2000、3000、3010、4000、4010、5000、SM-ES2 SKUs、SM-ES3 SKUs、NME-16ES-1G-P、SM-X-ES3 SKUs等
漏洞檢測
檢測監聽埠
確認目標設備是否開啟4786/TCP埠,可以用telnet遠程測試4786埠是否開放,或者用nmap埠掃描工具也可:
telnet IP 4786
檢測智能安裝客戶端是否開啟
此外,可以通過以下管理員執行命令"show vstack config"確認是否開啟 Smart Install Client 功能:
switch1# show vstack config
Role: Client (SmartInstall enabled)
switch2# show vstack config
Capability: Client
Oper Mode: Enabled
Role: Client
檢測Cisco IOS 發行版本識別
可以在用管理員命令show version來獲得相關版本信息來識別:
對Cisco IOS 發行版可以用過信息中的 C2951-UNIVERSALK9-M識別:
Router> show version
Cisco IOS Software, C2951 Software (C2951-UNIVERSALK9-M), Version 15.5(2)T1, RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2015 by Cisco Systems, Inc.
Compiled Mon 22-Jun-15 09:32 by prod_rel_team
對Cisco IOS XE發行版可以用過信息中的 CAT3K_CAA-UNIVERSALK9-M識別:
ios-xe-device# show version
Cisco IOS Software, Catalyst L3 Switch Software (CAT3K_CAA-UNIVERSALK9-M), Version Denali 16.2.1, RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2016 by Cisco Systems, Inc.
Compiled Sun 27-Mar-16 21:47 by mcpre
漏洞利用POC
該漏洞已經出現可利用的Poc,部分截圖如下:
結果:
修復和建議
立即對思科相關的路由器做埠檢測,確保4786埠沒有暴露在公網中。對發現的埠馬上做訪問限制,使得僅僅可信的內網訪問。
聯繫設備代理商或服務商對設備進行升級。
※微軟家.NET家族介紹
※Festo仿生蜘蛛機器人,可以行走和快速滾動
TAG:蟲蟲搜奇 |