「紧急」思科底层设备漏洞CVE-2018-0171正在肆虐

可引发路由器重启从而使得网络服务不可用...

1. 漏洞介绍

CVE-2018-0171漏洞是利用Smart Install功能的TCP 4786端口进行攻击，黑客可以伪造smart install message给该端口，引发路由器重启从而使得网络服务不可用。

Smart Install功能是部署大规模接入交换机是简化配置即插即用的配置和IOS镜像管理特性。

只针对IOS和XE操作系统，XR路由器和Nexus交换机不受影响。

比IOS Software Release 12.2(52)SE早的交换机，因为不支持smart install特性，所以不受影响。除非用户自己配置了“archive download-sw”命令。

2. 验证是否开启了smart install，如果已经开启如何关闭

执行命令show vstack config

switch1# show vstack config

Role: Client (SmartInstall enabled)

如上，如果发现了smart install已经enable，有2个选择：

升级到Fix的版本

关闭Smart Install特性和TCP端口

(config)# no vstack

(config)#

3. 如何验证版本、查看建议

https://tools.cisco.com/security/center/softwarechecker.x

4. 如果订阅实时的包括安全、bug在内的官方信息：

http://www.cisco.com/cisco/support/notifications.html

用这个link做订阅。用你们邮箱注册个账号即可收订阅

CNCERT：Cisco Smart Install远程命令执行漏洞安全公告

安全公告编号:CNTA-2018-0013

2018年3月29日，国家信息安全漏洞共享平台（CNVD）收录了Cisco Smart Install远程命令执行漏洞（CNVD-2018-06774，对应CVE-2018-0171）。综合利用上述漏洞，允许未经身份验证的远程攻击者向远端Cisco设备的 TCP 4786 端口发送精心构造的恶意数据包，触发漏洞造成设备远程执行Cisco系统命令或拒绝服务（DoS）。目前，漏洞利用代码已公开，且厂商已发布漏洞修复版本。

一、漏洞情况分析

Smart Install 作为一项即插即用配置和镜像管理功能，为新加入网络的交换机提供零配置部署，实现了自动化初始配置和操作系统镜像加载的过程，同时还提供配置文件的备份功能。

Cisco SmartInstall存在远程命令执行漏洞，SMI IBC Server Process进程中包含了Smart Install Client的实现代码。Smart InstallClient在TCP（4786）端口上开启服务（默认开启），用来与 Smart Install Director 交互。当服务处理一段特殊构造的恶意信息ibd_init_discovery_msg时，因为未能检查拷贝到固定大小缓冲区的数据尺寸，大小和数据是直接从网络数据包中获得的，并由攻击者控制，smi_ibc_handle_ibd_init_discovery_msg函数在处理该数据包时会触发缓冲区栈溢出造成设备拒绝服务（DoS）或远程执行Cisco系统命令。

CNVD对上述漏洞的综合评级为“高危”。

二、漏洞影响范围

支持 SmartInstall Client模式的交换机受此漏洞影响，包括但不限于以下：

Catalyst 4500Supervisor Engines

Catalyst 3850Series

Catalyst 3750Series

Catalyst 3650Series

Catalyst 3560Series

Catalyst 2960Series

Catalyst 2975Series

IE 2000

IE 3000

IE 3010

IE 4000

IE 5000

SM-ES2 SKUs

SM-ES3 SKUs

NME-16ES-1G-P

SM-X-ES3 SKUs

根据CNVD技术组成员单位知道创宇公司提供的分析数据显示，全球Cisco Smart Install系统规模为14.3万；按国家分布情况来看，用户量排名前三的分别是美国（29%）、中国（11%）和日本（6%）。

三、漏洞修复建议

处置建议：

远程自查方法A：

确认目标设备是否开启4786/TCP端口，如果开启则表示可能受到影响。

比如用nmap扫描目标设备端口：

nmap -p T:4786 192.168.1.254

远程自查方法B：

使用Cisco提供的脚本探测是否开放Cisco Smart Install协议，若开启则可能受到影响。

# pythonsmi_check.py -i 192.168.1.254

本地自查方法A：（需登录设备）

此外，可以通过以下命令确认是否开启 Smart Install Client 功能：

switch>show vstack config

Role:Client (SmartInstall enabled)

Vstack Director IP address: 0.0.0.0

switch>show tcp brief all

TCB Local Address Foreign Address (state)

0344B794 *.4786 *.* LISTEN

0350A018 *.443 *.* LISTEN

03293634 *.443 *.* LISTEN

03292D9C *.80 *.* LISTEN

03292504*.80 *.* LISTEN

本地自查方法B：（需登录设备）

switch>show version

将回显内容保存在a.txt中，并上传至Cisco的CiscoIOS Software Checker进行检测。

检测地址：https://tools.cisco.com/security/center/softwarechecker.x

修复方法：

升级补丁：

思科官方已发布针对此漏洞的补丁但未提供下载链接，详细修复方案如下：

临时处置措施：(关闭协议)

switch#conf t

switch(config)#no vstack

switch(config)#do wr

switch(config)#exit

检查端口已经关掉：

switch>show tcp brief all

TCB Local Address Foreign Address (state)

0350A018 *.443 *.* LISTEN

03293634 *.443 *.* LISTEN

03292D9C *.80 *.* LISTEN

03292504*.80 *.* LISTEN

附：参考链接：

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixed

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2

https://embedi.com/blog/cisco-smart-install-remote-code-execution/

http://www.cnvd.org.cn/flaw/show/CNVD-2018-06774

    关注 运维帮