思科Smart Install远程代码执行漏洞应急响应及应对建议

安全预警 南瓜一族 624℃ 0评论

0x01 漏洞背景

近日,互联网爆发了针对思科网络设备攻击行为,黑客主要利用自动化工具对全球面对互联网的思科设备Smart Install漏洞发现,成功找到思科设备及该设备对外开放Smart Install服务,自动加载思科SmartInstall 的缓冲区堆栈溢出漏洞(漏洞编号 CVE-2018-0171)攻击程序,从而完全控制受漏洞影响的网络设备。

Smart Install是什么服务?

Smart Install功能是部署大规模接入交换机是简化配置即插即用的配置和IOS镜像管理特性。该漏洞是利用Smart Install功能的TCP 4786端口进行攻击,黑客可以伪造smart install message给该端口,引发路由器重启从而使得网络服务不可用。 现网上已公开使设备重启的POC,容易被黑客利用放出的POC进行该漏洞全球范围的扫描,同时该端口 TCP(4786)是默认开放,通常网络管理员并没有意识到其中可能存在的安全问题。

0x02 事件影响及后果

黑客可以伪造smart install message给该端口,引发路由器重启从而使得网络服务不可用。 现网上已公开使设备重启的POC,容易被黑客利用放出的POC进行该漏洞全球范围的扫描,同时该端口 TCP(4786)是默认开放,通常网络管理员并没有意识到其中可能存在的安全问题。

0x03 利用过程


攻击始在互联网上大规模对所有Ipv4进行全网络扫描,通过找出所有Cisoc网络设备及开放4786端口(即Smart Install服务),直接进行溢出攻击,成功获取后,会将配置信息上传至黑客自身部署于互联网的服务器,同时下载自身配置,偷偷修改网络配置,从而达到永久控制。

0x04 应对方式及建议

企业自查

1. 扫描确定是否开放了4786端口

2. 验证是否开启了smart install,如果已经开启如何关闭

执行命令showvstack config
switch1#show vstack config
Role:Client (SmartInstall enabled)

如上,如果发现了smartinstall已经enable,有2个选择:
升级到Fix的版本
关闭SmartInstall特性和TCP端口
(config)#no vstack
(config)#

3. 如何验证版本、查看建议

https://tools.cisco.com/security/center/softwarechecker.x

0x05 受影响设备

经验证存在漏洞的设备包括:Catalyst 4500Supervisor Engines、Cisco Catalyst 3850 SeriesSwitches 和 CiscoCatalyst 2960 Series Switches。
Cisco Catalyst 4500 SupervisorEngine 6L-E
Cisco IOS 15.2.2E6 (Latest,Suggested)
cat4500e-entservicesk9-mz.152-2.E6.bin(23-DEC-2016)
Cisco Catalyst 2960-48TT-L Switch
Cisco IOS 12.2(55)SE11 (Suggested)
c2960-lanbasek9-mz.122-55.SE11.bin(18-AUG-2016)
Cisco IOS 15.0.2-SE10a (Latest)
c2960-lanbasek9-mz.150-2.SE10a.bin(10-NOV-2016)
Cisco Catalyst 3850-24P-E Switch
Cisco IOS-XE 03.03.05.SE
cat3k_caa-universalk9.SPA.03.03.05.SE.150-1.EZ5.bin(03-NOV-2014)
此外,所有具备 Smart Install Client 的设备都可能受到漏洞影响,包括下列:
Catalyst 4500 Supervisor Engines
Catalyst 3850 Series
Catalyst 3750 Series
Catalyst 3650 Series
Catalyst 3560 Series
Catalyst 2960 Series
Catalyst 2975 Series
IE 2000
IE 3000
IE 3010
IE 4000
IE 4010
IE 5000
SM-ES2 SKUs
SM-ES3 SKUs
NME-16ES-1G-P
SM-X-ES3 SKUs
只针对IOS和XE操作系统,XR路由器和Nexus交换机不受影响
比IOS Software Release 12.2(52)SE早的交换机,因为不支持smart install特性,所以不受影响。除非用户自己配置了“archive download-sw”命令。

转载请注明:猫头鹰工作室 » 思科Smart Install远程代码执行漏洞应急响应及应对建议

喜欢 (0)or分享 (0)
发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址