证券代码:831315|7X24服务热线:400-720-7200
CISCO设备存在重要安全bug,重要!!! 2018-04-07
我们已有客户受此漏洞影响,导致网络中断,影响非常严重,需要尽快进行修复,以防出现类似安全事件。具体公告内容如下:

 2018年3月28日,Cisco发布了一个远程代码执行严重漏洞通告。通告了思科IOS和IOS-XE系统的配置管理类协议Cisco Smart Install(Cisco私有协议)代码中存在一处缓冲区栈溢出漏洞,漏洞编号为CVE-2018-0171。攻击者无需用户验证即可向远端Cisco设备的 TCP 4786 端口发送精心构造的恶意数据包,触发漏洞造成设备远程执行Cisco系统命令或拒绝服务(DoS)。
漏洞相关的技术细节和验证程序已经公开,且互联网上受影响的主机数量非常大。由于此漏洞影响底层网络设备,且漏洞相关PoC已经公开并证实可用,极有可能构成巨大的现实威胁。故360威胁情报中心发布此通告提醒用户和企业采取必要防御应对措施。
漏洞概要
漏洞名称 CVE-2018-0171 Cisco Smart Install命令执行漏洞
威胁类型 远程代码执行
威胁等级
漏洞ID CVE-2018-0171
漏洞利用条件 开启了Cisco Smart Install管理协议,且模式为client模式
漏洞利用场景 攻击者无需用户验证即可向远端Cisco设备的TCP 4786端口发送精心构造的恶意数据包,触发漏洞造成设备远程执行Cisco系统命令或拒绝服务(DoS)。
服务是否默认开启

受影响系统及应用版本

确认受影响的型号:Catalyst 4500 Supervisor EnginesCisco Catalyst 3850 Series SwitchesCisco Catalyst 2960 Series Switches

可能受影响的设备型号:3750 SeriesCatalyst 3650 SeriesCatalyst 3560 SeriesCatalyst 2975 SeriesIE 2000IE 3000IE 3010IE 4000IE 4010IE 5000SM-ES2 SKUsSM-ES3 SKUsNME-16ES-1G-PSM-X-ES3 SKUs

不受影响影响系统及应用版本 未开启Cisco Smart Install管理协议或模式为Director模式的Cisco设备均不受影响。
漏洞描述
该漏洞存在于思科IOS和IOS-XE系统的配置管理类协议Cisco Smart Install一处缓冲区栈内。攻击者无需认证,远程向开启TCP 4786 且为client模式的Cisco设备端口发送精心构造的畸形数据包,会导致smi_ibc_handle_ibd_init_discovery_msg函数在处理该数据包时触发缓冲区栈溢出造成设备拒绝服务(DoS)或远程执行Cisco系统命令。
影响面评估
360威胁情报中心已经确认公开的PoC利用代码有效,且该漏洞整体影响面非常大,综合分析威胁等级为高。
处置建议
远程自查方法A:
确认目标设备是否开启4786/TCP端口,如果开启则表示可能受到影响。
比如用nmap扫描目标设备端口:
nmap -p T:4786 192.168.1.254
远程自查方法B:
使用Cisco提供的脚本探测是否开放Cisco Smart Install协议,若开启则可能受到影响。
# pythonsmi_check.py -i 192.168.1.254
[INFO] Sending TCP probe to targetip:4786
[INFO] Smart Install Client feature active on targetip:4786
[INFO]targetip is affected。
本地自查方法A:(需登录设备)
此外,可以通过以下命令确认是否开启 Smart Install Client 功能:
switch>show vstack config
Role:Client (SmartInstall enabled)
Vstack Director IP address: 0.0.0.0
switch>show tcp brief all
TCB Local Address Foreign Address (state)
0344B794 *.4786 *.* LISTEN
0350A018 *.443 *.* LISTEN
03293634 *.443 *.* LISTEN
03292D9C *.80 *.* LISTEN
03292504*.80 *.* LISTEN
本地自查方法B:(需登录设备)
switch>show version
将回显内容保存在a.txt中,并上传至Cisco的Cisco IOS Software Checker进行检测。
检测地址:https://tools.cisco.com/security/center/softwarechecker.x
修复方法
升级补丁:
思科官方已发布针对此漏洞的补丁但未提供下载链接,请联系思科获取补丁。
临时处置措施:(关闭协议)
switch#conf t
switch(config)#no vstack
switch(config)#do wr
switch(config)#exit
检查端口已经关掉:
switch>show tcp brief all
TCB Local Address Foreign Address (state)
0350A018 *.443 *.* LISTEN
03293634 *.443 *.* LISTEN
03292D9C *.80 *.* LISTEN
03292504*.80 *.* LISTEN
参考资料
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixed
https://embedi.com/blog/cisco-smart-install-remote-code-execution/

温馨提示

反馈会在1个工作日内与您联系(工作时间:周一至周五,9:00-17:30)。紧急问题建议您拨打400-720-7200或提交工单,谢谢!