免费获取Cisco Smart Install远程命令执行漏洞自查工具

2018年3月28日，Cisco官方发布了CiscoIOS和IOS XE软件存在多个远程代码执行漏洞的安全公告，其中有一个Smart Install远程代码执行漏洞，对应CVE编号：CVE-2018-0171。攻击者可以在未授权的情况下通过重新加载（reload）设备造成拒绝服务条件或者远程执行代码。

漏洞自查方法

方法一：已采购明鉴远程安全评估系统的用户可以通过该产品进行扫描自查

方法二：联系安恒信息官网人工客服索取免费自查漏洞检测工具，该工具除了可以自查设备是否受影响，还可以验证性对设备进行渗透测试，正在运行的业务设备需谨慎勾选该功能。

方法三：通过CiscoSecurity提供的Cisco IOS软件检查器，企业用户可以自行提交Cisco IOS和IOS XE软件版本号来查验是否存在漏洞或需要安全更新：

https://tools.cisco.com/security/center/softwarechecker.x

漏洞修复方法

方法一：打补丁，思科官方暂时未提供补丁链接

方法二：不能打补丁前临时停用Smart Install功能，使用no vstack命令，示例：

switch1#conf t

switch1(config)#novstack

switch1(config)#dowr

当停止功能后，再次查看状态：

switch# showvstack config

Role: Client(SmartInstall disabled)

Vstack Director IPaddress: 0.0.0.0

显示disabled即停用。

方法三：当业务需要用到此服务时，配置ACL，限定白名单的设备可访问4786端口，命令参考如下：

ip access-list extended yunxusmi

permit tcp host 10.10.10.1 host10.10.10.200 eq 4786

deny tcp any any eq 4786

permit ip any any

方法四：直接在防火墙上做ACL拒绝任何IP访问影响设备的4786端口，或允许指定IP访问4786端口。