2018年3月28日，Cisco发布了一个远程代码执行严重漏洞通告。通告了思科IOS和IOS-XE系统的配置管理类协议Cisco Smart Install（Cisco私有协议）代码中存在一处缓冲区栈溢出漏洞，漏洞编号为CVE-2018-0171。攻击者无需用户验证即可向远端Cisco设备的 TCP 4786 端口发送精心构造的恶意数据包，触发漏洞造成设备远程执行Cisco系统命令或拒绝服务（DoS）。

漏洞相关的技术细节和验证程序已经公开，且互联网上受影响的主机数量非常大。由于此漏洞影响底层网络设备，且漏洞相关PoC已经公开并证实可用，极有可能构成巨大的现实威胁。故360威胁情报中心发布此通告提醒用户和企业采取必要防御应对措施。

漏洞概要

漏洞描述

该漏洞存在于思科IOS和IOS-XE系统的配置管理类协议Cisco Smart Install一处缓冲区栈内。攻击者无需认证，远程向开启TCP 4786 且为client模式的Cisco设备端口发送精心构造的畸形数据包，会导致smi_ibc_handle_ibd_init_discovery_msg函数在处理该数据包时触发缓冲区栈溢出造成设备拒绝服务（DoS）或远程执行Cisco系统命令。

影响面评估

360威胁情报中心已经确认公开的PoC利用代码有效，且该漏洞整体影响面非常大，综合分析威胁等级为高。

处置建议

远程自查方法A：

确认目标设备是否开启4786/TCP端口，如果开启则表示可能受到影响。

比如用nmap扫描目标设备端口：

nmap -p T:4786 192.168.1.254

远程自查方法B：

使用Cisco提供的脚本探测是否开放Cisco Smart Install协议，若开启则可能受到影响。

# pythonsmi_check.py -i 192.168.1.254

[INFO] Sending TCP probe to targetip:4786

[INFO] Smart Install Client feature active on targetip:4786

[INFO]targetip is affected。

本地自查方法A：（需登录设备）

此外，可以通过以下命令确认是否开启 Smart Install Client 功能：

switch>show vstack config

Role: Client (SmartInstall enabled)

Vstack Director IP address: 0.0.0.0

switch>show tcp brief all

TCB Local Address Foreign Address (state)

0344B794 *.4786 *.* LISTEN

0350A018 *.443 *.* LISTEN

03293634 *.443 *.* LISTEN

03292D9C *.80 *.* LISTEN

03292504*.80 *.* LISTEN

本地自查方法B：（需登录设备）

switch>show version

将回显内容保存在a.txt中，并上传至Cisco的Cisco IOS Software Checker进行检测。

检测地址：https://tools.cisco.com/security/center/softwarechecker.x

修复方法

升级补丁：

思科官方已发布针对此漏洞的补丁但未提供下载链接，请联系思科获取补丁。

临时处置措施：(关闭协议)

switch#conf t

switch(config)#no vstack 

switch(config)#do wr

switch(config)#exit

检查端口已经关掉：

switch>show tcp brief all

TCB Local Address Foreign Address (state)

0350A018 *.443 *.* LISTEN

03293634 *.443 *.* LISTEN

03292D9C *.80 *.* LISTEN

03292504*.80 *.* LISTEN

参考资料

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixed

https://embedi.com/blog/cisco-smart-install-remote-code-execution/

相关阅读：8500000 只交换机因「严重漏洞」面临攻击。。。。