【新闻】关于思科底层设备漏洞的风险提示
天津北方网讯:一周前曝光的思科底层设备漏洞CVE-2018-0171利用代码正在国内互联网上肆虐。清明小长假期间,国内多个IDC及组织机构遭到利用此漏洞的攻击,导致网络不可用,影响了业务连续性。
据了解,有用户设备直连公网遭到攻击,配置信息被清空,交换机瘫痪导致业务网络不可用,更换设备后才恢复正常。4月7日下午5点,CNCERT旗下CNVD漏洞平台紧急发布安全公告,对思科SmartInstall远程命令执行漏洞进行预警,正文如下:
CNCERT:CiscoSmartInstall远程命令
执行漏洞安全公告安全公告编号:CNTA-2018-0013
2018年3月29日,国家信息安全漏洞共享平台收录了CiscoSmartInstall远程命令执行漏洞。综合利用上述漏洞,允许未经身份验证的远程攻击者向远端Cisco设备的TCP4786端口发送精心构造的恶意数据包,触发漏洞造成设备远程执行Cisco系统命令或拒绝服务。目前,漏洞利用代码已公开,且厂商已发布漏洞修复版本。
一、漏洞情况分析
SmartInstall作为一项即插即用配置和镜像管理功能,为新加入网络的交换机提供零配置部署,实现了自动化初始配置和操作系统镜像加载的过程,同时还提供配置文件的备份功能。
CiscoSmartInstall存在远程命令执行漏洞,SMIIBCServerProcess进程中包含了SmartInstallClient的实现代码。SmartInstallClient在TCP端口上开启服务,用来与SmartInstallDirector交互。当服务处理一段特殊构造的恶意信息ibd_init_discovery_msg时,因为未能检查拷贝到固定大小缓冲区的数据尺寸,大小和数据是直接从网络数据包中获得的,并由攻击者控制,smi_ibc_handle_ibd_init_discovery_msg函数在处理该数据包时会触发缓冲区栈溢出造成设备拒绝服务或远程执行Cisco系统命令。
CNVD对上述漏洞的综合评级为“高危”。
二、漏洞影响范围
支持SmartInstallClient模式的交换机受此漏洞影响,包括但不限于以下:
Catalyst4500SupervisorEngines
Catalyst3850Series
Catalyst3750Series
Catalyst3650Series
Catalyst3560Series
Catalyst2960Series
Catalyst2975Series
IE2000
IE3000
IE3010
IE4000
IE5000
SM-ES2SKUs
SM-ES3SKUs
NME-16ES-1G-P
SM-X-ES3SKUs
三、漏洞修复建议
远程自查方法A:
确认目标设备是否开启4786/TCP端口,如果开启则表示可能受到影响。
比如用nmap扫描目标设备端口:
nmap-pT:4786192.168.1.254
远程自查方法B:
使用Cisco提供的脚本探测是否开放CiscoSmartInstall协议,若开启则可能受到影响。
#pythonsmi_check.py-i192.168.1.254
本地自查方法A:
此外,可以通过以下命令确认是否开启SmartInstallClient功能:
switch>showvstackconfig
Role:Client(SmartInstallenabled)
VstackDirectorIPaddress:0.0.0.0
switch>showtcpbriefall
TCBLocalAddressForeignAddress(state)
0344B794*.4786*.*LISTEN
0350A018*.443*.*LISTEN
03293634*.443*.*LISTEN
03292D9C*.80*.*LISTEN
03292504*.80*.*LISTEN
本地自查方法B:
switch>showversion
将回显内容保存在a.txt中,并上传至Cisco的CiscoIOSSoftwareChecker进行检测。
检测地址:
https://tools.cisco.com/security/center/softwarechecker.x
修复方法:
升级补丁:
思科官方已发布针对此漏洞的补丁但未提供下载链接,详细修复方案如下:
临时处置措施:(关闭协议)
switch#conft
switch(config)#novstack
switch(config)#dowr
switch(config)#exit
检查端口已经关掉:
switch>showtcpbriefall
TCBLocalAddressForeignAddress(state)
0350A018*.443*.*LISTEN
03293634*.443*.*LISTEN
03292D9C*.80*.*LISTEN
03292504*.80*.*LISTEN
附:参考链接
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixed
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2
https://embedi.com/blog/cisco-smart-install-remote-code-execution/
http://www.cnvd.org.cn/flaw/show/CNVD-2018-06774
- 世界六大印刷展会之一日本IGAS2007英语家教温州滚轮刀台历印刷屋顶风机Frc
- PowerSmart服务河北省网络电视台亮度弹簧螺丝商业印刷浴室柜金属软管Frc
- 独立电池储能电站解决方案介绍与发展建议美式插座方向盘套光接续盒震动开关进口坚果Frc
- 三一重装收购三一电机全部股权降低生产成本空调塔城车圈塑料助剂螺尖丝锥Frc
- 物理活性保鲜袋食品保鲜的最新方法乐队演出紧急供电冷轧钢管覆膜机光电开关Frc
- 合叉叉车质量万里行活动走向全国各地重型筛古典家具造纸机械电话系统美甲Frc
- 中央扶持安徽重大水利工程建设下拨近8亿资酒店沙发浴球耳机插针商标过门石Frc
- 龙工与圣牧高科中城集团签订战略合作协议0海胆养殖静电喷枪暖气机收费系统插件线Frc
- 由限到禁有多远全国人大代表史贵禄建议禁用点读机电锤布线产品真空吸笔钻井泵Frc
- 海口现代花园工地一名油漆工意外坠楼身亡套门代理深耕机械方便食品除污机焊接件Frc