Cisco Smart Install远程代码执行漏洞再次预警

Smart Install远程代码执行漏洞

2018年3月28日,Cisco官方发布了CiscoIOS和IOS XE软件存在多个远程代码执行漏洞的安全公告,其中有一个Smart Install远程代码执行漏洞,对应CVE编号:CVE-2018-0171,漏洞公告链接:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2

根据公告,Cisco IOS和IOS XE软件在SmartInstall功能开启的情况下(该功能在设备出厂时默认开启),会监听一个TCP 4786端口,恶意攻击者可以对该端口发送特殊数据包触发缓冲区溢出,从而导致设备重启或配置丢失、或执行任意代码,成功利用该漏洞能完全控制设备实现流量劫持等一系列危险操作,当时网上已公开POC测试代码。

安恒应急响应中心也随即发布预警公告并做出威胁推演:此漏洞为远程代码执行漏洞,基于全球使用该产品用户的数量和暴露在网上的端口情况,恶意攻击者可能会开发针对该漏洞的自动化攻击程序,实现漏洞利用成功后自动植入后门程序,并进一步对设备配置实现流量操作等效果,从而影响到所在网络环境的安全。

最近安恒应急响应中心监测到针对这一漏洞的攻击活动增多,被攻击的设备会出现重启或启动配置被修改等破坏现象,建议尽快升级软件和采取相应的缓解措施。

Smart Install漏洞影响范围情况

受到影响的设备类型

请参考支持该功能的设备列表:

https://www.cisco.com/c/en/us/td/docs/switches/lan/smart_install/configuration/guide/smart_install/supported_devices.html

Catalyst 2960

Catalyst 2960-C

Catalyst 2960-CX

Catalyst 2960-L

Catalyst 2960-P

Catalyst 2960-S

Catalyst 2960-SF

Catalyst 2960-X

Catalyst 2960-XR

Catalyst 2975

Catalyst 3560

Catalyst 3560-C

Catalyst 3560-CX

Catalyst 3560-E

Catalyst 3560-X

Catalyst 3650

Catalyst 3750

Catalyst 3750 Metro Series

Catalyst 3750-E

Catalyst 3750-X

Catalyst 3850

Catalyst 4500 Supervisor Engine, 6E, 6LE, 7E, 7LE, 8E, 8LE

Catalyst 6500 Supervisor Engine 2T-10GE

IE 2000

IE 3000

IE 3010

IE 4000

IE 4010

IE 5000

ME 3400E Series Ethernet Access

ME 3400 Series Ethernet Access

NME-16ES-1G-P

SM-ES2 SKUs

SM-ES3 SKUs

SM-X-ES3 SKUs

不受影响的设备类型

Catalyst 2960系列交换机15.2(2)E8,15.2(4)E6,15.2(6)E1及后续发布的IOS版本

Catalyst 3560/3750系列交换机15.2(4)E6及后续发布的IOS版本

Catalyst 3650/3850系列交换机16.3.6,3.6.8E及后续发布的IOS-XE版本

Catalyst 4500系列交换机3.6.8E及后续发布的IOS-XE版本

Catalyst65 Supervisor Engine 2T-10GE15.2(1)SY6及后续发布的IOS版本

IE系列交换机15.5(1)SY1及后续发布的IOS版本

ME系列交换机12.2(60)EZ12及后续发布的IOS版本

网络上Smart Install端口开放情况

全球分布

通过通过安恒研究院sumap平台查询,全球Smart Install服务主要分布情况如下,TCP 4786端口:

可以看到日本和中国最多,我们发现国外一些运营商已经开始屏蔽了一些地区TCP 4786端口,避免针对该端口的攻击可能对网络环境造成的影响。

国内分布

通过安恒研究院sumap平台针对国内Smart Install服务TCP 4786端口受影响情况统计,最新查询分布情况如下:

可以看到台湾省最多。

Smart Install端口开放自查

可通过Nmap网络安全扫描工具扫描端口开放情况,验证运行Smart Install服务的IP资产是否开放TCP 4786端口,示例(Windows/Linux):

nmap -v -p T:4786 192.168.1.0/24

同时,也可以通过Cisco Security提供的Cisco IOS软件检查器,企业用户可以自行提交Cisco IOS和IOS XE软件版本号来查验是否存在漏洞或需要安全更新:

https://tools.cisco.com/security/center/softwarechecker.x

CiscoIOS和IOS XE可以通过输入(show version)命令查看设备软件版本号,比如Cisco IOS设备上:

Router>show version

CiscoIOS Software, C2951 Software (C2951-UNIVERSALK9-M), Version 15.5(2)T1, RELEASESOFTWARE (fc1)

TechnicalSupport: http://www.cisco.com/techsupport

Copyright(c) 1986-2015 by Cisco Systems, Inc.

CompiledMon 22-Jun-15 09:32 by prod_rel_team

在Cisco IOS XE 上:

ios-xe-device#show version

CiscoIOS Software, Catalyst L3 Switch Software (CAT3K_CAA-UNIVERSALK9-M), VersionDenali 16.2.1, RELEASE SOFTWARE (fc1)

TechnicalSupport: http://www.cisco.com/techsupport

Copyright(c) 1986-2016 by Cisco Systems, Inc.

CompiledSun 27-Mar-16 21:47 by mcpre

其中“Version 15.5(2)T1”和“Version Denali 16.2.1”为版本号,选择该版本号提交到软件检查器网站上查询即可。

针对Smart Install功能开启情况,可以执行(show vstack config)命令查看启用状态,比如在交换机上:

switch1#show vstack config

Role: Client (SmartInstall enabled)

switch2#show vstack config

Capability: Client

Oper Mode: Enabled

Role: Client

enabled显示功能开启,同时,也可以直接使用(show tcp brief all)命令查看端口监听情况,示例:

router#show tcp brief all | include 4786

47DFD528 0.0.0.0.4786 *.* LISTEN

Smart Install安全配置建议

运行Smart Install服务安全配置

建议不能打补丁前临时停用该功能,使用no vstack命令,示例:

switch1#conf t

switch1(config)#no vstack

switch1(config)#do wr

当停止功能后,再次查看状态:

switch# show vstack config

Role: Client (SmartInstall disabled)

Vstack Director IP address: 0.0.0.0

显示disabled。

运行Smart Install的系统安全策略配置

建议利用设备自身安全策略限制或禁止外部访问设备TCP 4786端口,通过ACL控制,或是通过外围安全设备阻止对该端口访问,ACL配置示例:

ipaccess-list extended SMI_HARDENING_LIST

permit tcp host10.10.10.1 host 10.10.10.200 eq 4786

deny tcp any any eq4786

permit ip any any

interfaceGigabitEthernet0/0

ipaccess-group SMI_HARDENING_LIST in

!--只允许10.10.10.200访问10.10.10.1的TCP 4786端口。

或是直接阻止所有IP访问该端口,示例:

ipaccess-list extended SMI_HARDENING_LIST

deny tcp any any eq4786

permit ip any any

interfaceGigabitEthernet0/0

ipaccess-group SMI_HARDENING_LIST in

关于ACL配置说明可以参考Cisco文档:

https://www.cisco.com/c/zh_cn/support/docs/ip/access-lists/43920-iacl.html

原文发布于微信公众号 - 安恒网络空间安全讲武堂(gh_fa1e45032807)

原文发表时间:2018-04-10

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏晨星先生的自留地

实战系列之你真的会mysql注入么?

22850
来自专栏Golang语言社区

[转载]Go JSON 技巧

相对于很多的语言来说, Go 的 JSON 解析可谓简单至极. 问题 通常情况下, 我们在 Go 中经常这样进行 JSON 的解码: package main ...

39130
来自专栏蓝天

C/C++编程可用的Linux自带工具

GNU Binary Utilities或binutils是一整套的编程语言工具程序,用来处理许多格式的目标文件。当前的版本原本由在Cygnus Soluti...

15020
来自专栏FreeBuf

在你的内网中获得域管理员权限的五种方法

早在2013年9月,蜘蛛实验室( Spider Labs)就发表过一篇题为“SpiderLabs在你内网中获取域管的五大方式”的文章。这篇文章是我继该文的,应该...

25650
来自专栏Eugene's Blog

黑客常用的扫描器盒子分类目录文章标签友情链接联系我们

35890
来自专栏Android群英传

通过Gradle Transform和aspectj来实现代码动态修改

19520
来自专栏FreeBuf

一次入侵应急响应分析

本文是前段时间处理某用户被黑的分析总结,用户被黑的表现是使用爬虫访问用户网站的首页时会出现博彩关键字,而使用正常浏览器访问时无相关的博彩关键词。这是典型的黑帽S...

23820
来自专栏上善若水

005工具及环境之nmap一览

Nmap (“Network Mapper(网络映射器)”) 是一款开放源代码的 网络探测和安全审核的工具。它的设计目标是快速地扫描大型网络,当然用它扫描单个 ...

13830
来自专栏信安之路

网络安全渗透测试

针对网络的渗透测试项目一般包括:信息收集、端口扫描、指纹识别、漏洞扫描、绘制网络拓扑、识别代理、记录结果等。下面就一一介绍。

25500
来自专栏SDNLAB

OpenStack TaaS反向设计

25470

扫码关注云+社区

领取腾讯云代金券