设为首页 收藏本站

运维网

查看: 1485|回复: 1

[公告] CISCO设备存在重要安全漏洞,抓紧自查修复

[复制链接]

尚未签到

发表于 2018-4-8 17:24:35 | 显示全部楼层 |阅读模式
漏洞预警|CVE-2018-0171:Cisco Smart Install远程命令执行
具体公告内容如下:
2018年3月28日,Cisco发布了一个远程代码执行严重漏洞通告。通告了思科IOS和IOS-XE系统的配置管理类协议Cisco Smart Install(Cisco私有协议)代码中存在一处缓冲区栈溢出漏洞,漏洞编号为CVE-2018-0171。攻击者无需用户验证即可向远端Cisco设备的 TCP 4786 端口发送精心构造的恶意数据包,触发漏洞造成设备远程执行Cisco系统命令拒绝服务(DoS)
漏洞相关的技术细节和验证程序已经公开,且互联网上受影响的主机数量非常大。由于此漏洞影响底层网络设备,且漏洞相关PoC已经公开并证实可用,极有可能构成巨大的现实威胁。故360威胁情报中心发布此通告提醒用户和企业采取必要防御应对措施。

漏洞概要
漏洞名称:CVE-2018-0171 Cisco Smart Install命令执行漏洞   
威胁类型:远程代码执行   
威胁等级:高   
漏洞ID:CVE-2018-0171   
漏洞利用条件:开启了Cisco Smart Install管理协议,且模式为client模式   
漏洞利用场景:攻击者无需用户验证即可向远端Cisco设备的TCP 4786端口发送精心构造的恶意数据包,触发漏洞造成设备远程执行Cisco系统命令或拒绝服务(DoS)。   
服务是否默认开启:是   
受影响系统及应用版本:  
确认受影响的型号
Catalyst 4500 Supervisor Engines
Cisco Catalyst 3850 Series Switches
Cisco Catalyst 2960 Series Switches
可能受影响的设备型号
Catalyst 3750 Series
Catalyst 3650 Series
Catalyst 3560 Series
Catalyst 2975 Series
IE 2000
IE 3000
IE 3010
IE 4000
IE 4010
IE 5000
SM-ES2 SKUs
SM-ES3 SKUs
NME-16ES-1G-P
SM-X-ES3 SKUs
不受影响影响系统及应用版本:未开启Cisco Smart Install管理协议或模式为Director模式的Cisco设备均不受影响。

漏洞描述
该漏洞存在于思科IOS和IOS-XE系统的配置管理类协议Cisco Smart Install一处缓冲区栈内。攻击者无需认证,远程向开启TCP 4786 且为client模式的Cisco设备端口发送精心构造的畸形数据包,会导致smi_ibc_handle_ibd_init_discovery_msg函数在处理该数据包时触发缓冲区栈溢出造成设备拒绝服务(DoS)或远程执行Cisco系统命令。

影响面评估
360威胁情报中心已经确认公开的PoC利用代码有效,且该漏洞整体影响面非常大,综合分析威胁等级为高。

处置建议
远程自查方法A:
确认目标设备是否开启4786/TCP端口,如果开启则表示可能受到影响。
比如用nmap扫描目标设备端口:
nmap -p T:4786 192.168.1.254

远程自查方法B:
使用Cisco提供的脚本探测是否开放Cisco Smart Install协议,若开启则可能受到影响。
# pythonsmi_check.py -i 192.168.1.254
[INFO] Sending TCP probe to targetip:4786
[INFO] Smart Install Client feature active on targetip:4786
[INFO]targetip is affected。

本地自查方法A:(需登录设备)
此外,可以通过以下命令确认是否开启 Smart Install Client 功能:
switch>show vstack config
Role:Client (SmartInstall enabled)
Vstack Director IP address: 0.0.0.0
switch>show tcp brief all
TCB Local Address Foreign Address (state)
0344B794 *.4786 *.* LISTEN
0350A018 *.443 *.* LISTEN
03293634 *.443 *.* LISTEN
03292D9C *.80 *.* LISTEN
03292504*.80 *.* LISTEN

本地自查方法B:(需登录设备)
switch>show version
将回显内容保存在a.txt中,并上传至Cisco的Cisco IOS Software Checker进行检测。

修复方法
升级补丁:
思科官方已发布针对此漏洞的补丁但未提供下载链接,请联系思科获取补丁。
临时处置措施:(关闭协议)
switch#conf t
switch(config)#no vstack
switch(config)#do wr
switch(config)#exit
检查端口已经关掉:
switch>show tcp brief all
TCB Local Address Foreign Address (state)
0350A018 *.443 *.* LISTEN
03293634 *.443 *.* LISTEN
03292D9C *.80 *.* LISTEN
03292504*.80 *.* LISTEN

参考资料
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixed


运维网声明 1、欢迎大家加入本站运维交流群:群②:261659950 群⑤:202807635 群⑦870801961 群⑧679858003
2、本站所有主题由该帖子作者发表,该帖子作者与运维网享有帖子相关版权
3、所有作品的著作权均归原作者享有,请您和我们一样尊重他人的著作权等合法权益。如果您对作品感到满意,请购买正版
4、禁止制作、复制、发布和传播具有反动、淫秽、色情、暴力、凶杀等内容的信息,一经发现立即删除。若您因此触犯法律,一切后果自负,我们对此不承担任何责任
5、所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其内容的准确性、可靠性、正当性、安全性、合法性等负责,亦不承担任何法律责任
6、所有作品仅供您个人学习、研究或欣赏,不得用于商业或者其他用途,否则,一切后果均由您自己承担,我们对此不承担任何法律责任
7、如涉及侵犯版权等问题,请您及时通知我们,我们将立即采取措施予以解决
8、联系人Email:[email protected] 网址:www.iyunv.com

所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其承担任何法律责任,如涉及侵犯版权等问题,请您及时通知我们,我们将立即处理,联系人Email:[email protected],QQ:1061981298 本贴地址:https://www.iyunv.com/thread-448339-1-1.html 上篇帖子: 运维网举办线下交流活动[北京] 下篇帖子: 运维网双12年终福利来袭!!!
点击关注更多内容
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则  允许回帖邮件提醒楼主

扫码加入运维网微信交流群X

扫码加入运维网微信交流群

扫描二维码加入运维网微信交流群,最新一手资源尽在官方微信交流群!快快加入我们吧...

扫描微信二维码查看详情

客服E-mail:[email protected] 在线客服QQ:点击这里给我发消息


QQ群⑦:运维网交流群⑦ QQ群⑧:运维网交流群⑧ k8s群:运维网kubernetes交流群


提醒:禁止发布任何违反国家法律、法规的言论与图片等内容;本站内容均来自个人观点与网络等信息,非本站认同之观点.


本站大部分资源是网友从网上搜集分享而来,其版权均归原作者及其网站所有,我们尊重他人的合法权益,如有内容侵犯您的合法权益,请及时与我们联系进行核实删除!



合作伙伴: 青云cloud bjyun

快速回复 返回顶部 返回列表