思科Smart Install远程代码执行漏洞应急响应及应对建议

  • A+
所属分类:安全漏洞

   点击上方蓝字“赛博星人”,关注我们


漏洞背景

近日,互联网爆发了针对思科网络设备攻击行为,黑客主要利用自动化工具对全球面对互联网的思科设备Smart Install漏洞发现,成功找到思科设备及该设备对外开放Smart Install服务,自动加载思科SmartInstall 的缓冲区堆栈溢出漏洞(漏洞编号 CVE-2018-0171)攻击程序,从而完全控制受漏洞影响的网络设备。

     

思科Smart Install远程代码执行漏洞应急响应及应对建议


Smart Install是什么服务?

Smart Install功能是部署大规模接入交换机是简化配置即插即用的配置和IOS镜像管理特性。该漏洞是利用Smart Install功能的TCP 4786端口进行攻击,黑客可以伪造smart install message给该端口,引发路由器重启从而使得网络服务不可用。 现网上已公开使设备重启的POC,容易被黑客利用放出的POC进行该漏洞全球范围的扫描,同时该端口 TCP(4786)是默认开放,通常网络管理员并没有意识到其中可能存在的安全问题。

  

事件影响及后果

黑客可以伪造smart install message给该端口,引发路由器重启从而使得网络服务不可用。 现网上已公开使设备重启的POC,容易被黑客利用放出的POC进行该漏洞全球范围的扫描,同时该端口 TCP(4786)是默认开放,通常网络管理员并没有意识到其中可能存在的安全问题。

利用过程

思科Smart Install远程代码执行漏洞应急响应及应对建议

攻击始在互联网上大规模对所有Ipv4进行全网络扫描,通过找出所有Cisoc网络设备及开放4786端口(即Smart Install服务),直接进行溢出攻击,成功获取后,会将配置信息上传至黑客自身部署于互联网的服务器,同时下载自身配置,偷偷修改网络配置,从而达到永久控制。

应对方式及建议

企业自查

1. 扫描确定是否开放了4786端口

思科Smart Install远程代码执行漏洞应急响应及应对建议


2. 验证是否开启了smart install,如果已经开启如何关闭

执行命令showvstack config

switch1#show vstack config

Role:Client (SmartInstall enabled)

 

如上,如果发现了smartinstall已经enable,有2个选择:

升级到Fix的版本

关闭SmartInstall特性和TCP端口

(config)#no vstack

(config)#

3. 如何验证版本、查看建议

https://tools.cisco.com/security/center/softwarechecker.x

受影响设备


经验证存在漏洞的设备包括:Catalyst 4500Supervisor Engines、Cisco Catalyst 3850 SeriesSwitches 和 CiscoCatalyst 2960 Series Switches。

Cisco Catalyst 4500 SupervisorEngine 6L-E

Cisco IOS 15.2.2E6 (Latest,Suggested)

cat4500e-entservicesk9-mz.152-2.E6.bin(23-DEC-2016)

Cisco Catalyst 2960-48TT-L Switch

Cisco IOS 12.2(55)SE11 (Suggested)

c2960-lanbasek9-mz.122-55.SE11.bin(18-AUG-2016)

Cisco IOS 15.0.2-SE10a (Latest)

c2960-lanbasek9-mz.150-2.SE10a.bin(10-NOV-2016)

Cisco Catalyst 3850-24P-E Switch

Cisco IOS-XE 03.03.05.SE

cat3k_caa-universalk9.SPA.03.03.05.SE.150-1.EZ5.bin(03-NOV-2014)

此外,所有具备 Smart Install Client 的设备都可能受到漏洞影响,包括下列:

Catalyst 4500 Supervisor Engines

Catalyst 3850 Series

Catalyst 3750 Series

Catalyst 3650 Series

Catalyst 3560 Series

Catalyst 2960 Series

Catalyst 2975 Series

IE 2000

IE 3000

IE 3010

IE 4000

IE 4010

IE 5000

SM-ES2 SKUs

SM-ES3 SKUs

NME-16ES-1G-P

SM-X-ES3 SKUs

        只针对IOS和XE操作系统,XR路由器和Nexus交换机不受影响

比IOS Software Release 12.2(52)SE早的交换机,因为不支持smart install特性,所以不受影响。除非用户自己配置了“archive download-sw”命令。


联系我们:

 

思科Smart Install远程代码执行漏洞应急响应及应对建议



本文始发于微信公众号(赛博星人):思科Smart Install远程代码执行漏洞应急响应及应对建议

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: