【新闻】关于思科底层设备漏洞的风险提示

发布时间：2020-10-14 09:38:05 阅读：次来源：吸顶灯厂家

天津北方网讯：一周前曝光的思科底层设备漏洞CVE-2018-0171利用代码正在国内互联网上肆虐。清明小长假期间，国内多个IDC及组织机构遭到利用此漏洞的攻击，导致网络不可用，影响了业务连续性。

据了解，有用户设备直连公网遭到攻击，配置信息被清空，交换机瘫痪导致业务网络不可用，更换设备后才恢复正常。4月7日下午5点，CNCERT旗下CNVD漏洞平台紧急发布安全公告，对思科SmartInstall远程命令执行漏洞进行预警，正文如下：

CNCERT：CiscoSmartInstall远程命令

执行漏洞安全公告安全公告编号:CNTA-2018-0013

2018年3月29日，国家信息安全漏洞共享平台收录了CiscoSmartInstall远程命令执行漏洞。综合利用上述漏洞，允许未经身份验证的远程攻击者向远端Cisco设备的TCP4786端口发送精心构造的恶意数据包，触发漏洞造成设备远程执行Cisco系统命令或拒绝服务。目前，漏洞利用代码已公开，且厂商已发布漏洞修复版本。

一、漏洞情况分析

SmartInstall作为一项即插即用配置和镜像管理功能，为新加入网络的交换机提供零配置部署，实现了自动化初始配置和操作系统镜像加载的过程，同时还提供配置文件的备份功能。

CiscoSmartInstall存在远程命令执行漏洞，SMIIBCServerProcess进程中包含了SmartInstallClient的实现代码。SmartInstallClient在TCP端口上开启服务，用来与SmartInstallDirector交互。当服务处理一段特殊构造的恶意信息ibd_init_discovery_msg时，因为未能检查拷贝到固定大小缓冲区的数据尺寸，大小和数据是直接从网络数据包中获得的，并由攻击者控制，smi_ibc_handle_ibd_init_discovery_msg函数在处理该数据包时会触发缓冲区栈溢出造成设备拒绝服务或远程执行Cisco系统命令。

CNVD对上述漏洞的综合评级为“高危”。

二、漏洞影响范围

支持SmartInstallClient模式的交换机受此漏洞影响，包括但不限于以下：

Catalyst4500SupervisorEngines

Catalyst3850Series

Catalyst3750Series

Catalyst3650Series

Catalyst3560Series

Catalyst2960Series

Catalyst2975Series

IE2000

IE3000

IE3010

IE4000

IE5000

SM-ES2SKUs

SM-ES3SKUs

NME-16ES-1G-P

SM-X-ES3SKUs

三、漏洞修复建议

远程自查方法A：

确认目标设备是否开启4786/TCP端口，如果开启则表示可能受到影响。

比如用nmap扫描目标设备端口：

nmap-pT:4786192.168.1.254

远程自查方法B：

使用Cisco提供的脚本探测是否开放CiscoSmartInstall协议，若开启则可能受到影响。

#pythonsmi_check.py-i192.168.1.254

本地自查方法A：

此外，可以通过以下命令确认是否开启SmartInstallClient功能：

switch>showvstackconfig

Role:Client(SmartInstallenabled)

VstackDirectorIPaddress:0.0.0.0

switch>showtcpbriefall

TCBLocalAddressForeignAddress(state)

0344B794*.4786*.*LISTEN

0350A018*.443*.*LISTEN

03293634*.443*.*LISTEN

03292D9C*.80*.*LISTEN

03292504*.80*.*LISTEN

本地自查方法B：

switch>showversion

将回显内容保存在a.txt中，并上传至Cisco的CiscoIOSSoftwareChecker进行检测。

检测地址：

https://tools.cisco.com/security/center/softwarechecker.x

修复方法：

升级补丁：

思科官方已发布针对此漏洞的补丁但未提供下载链接，详细修复方案如下：

临时处置措施：(关闭协议)

switch#conft

switch(config)#novstack

switch(config)#dowr

switch(config)#exit

检查端口已经关掉：

switch>showtcpbriefall

TCBLocalAddressForeignAddress(state)

0350A018*.443*.*LISTEN

03293634*.443*.*LISTEN

03292D9C*.80*.*LISTEN

03292504*.80*.*LISTEN

附：参考链接

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixed

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2

https://embedi.com/blog/cisco-smart-install-remote-code-execution/

http://www.cnvd.org.cn/flaw/show/CNVD-2018-06774

看甲状腺专业医院排名

北京看呼吸病哪里好

河北肾病的医院哪家好