Cisco Smart Install远程代码执行漏洞再次预警
安恒信息
网络安全前沿资讯、 应急响应解决方案、技术热点深度解读
关注
Smart Install远程代码执行漏洞
2018年3月28日,Cisco官方发布了CiscoIOS和IOS XE软件存在多个远程代码执行漏洞的安全公告,其中有一个Smart Install远程代码执行漏洞,对应CVE编号:CVE-2018-0171,漏洞公告链接:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2
根据公告,Cisco IOS和IOS XE软件在SmartInstall功能开启的情况下(该功能在设备出厂时默认开启),会监听一个TCP 4786端口,恶意攻击者可以对该端口发送特殊数据包触发缓冲区溢出,从而导致设备重启或配置丢失、或执行任意代码,成功利用该漏洞能完全控制设备实现流量劫持等一系列危险操作,当时网上已公开POC测试代码。
安恒应急响应中心也随即发布预警公告并做出威胁推演:此漏洞为远程代码执行漏洞,基于全球使用该产品用户的数量和暴露在网上的端口情况,恶意攻击者可能会开发针对该漏洞的自动化攻击程序,实现漏洞利用成功后自动植入后门程序,并进一步对设备配置实现流量操作等效果,从而影响到所在网络环境的安全。
最近安恒应急响应中心监测到针对这一漏洞的攻击活动增多,被攻击的设备会出现重启或启动配置被修改等破坏现象,建议尽快升级软件和采取相应的缓解措施。
请参考支持该功能的设备列表:
https://www.cisco.com/c/en/us/td/docs/switches/lan/smart_install/configuration/guide/smart_install/supported_devices.html
Catalyst 2960
Catalyst 2960-C
Catalyst 2960-CX
Catalyst 2960-L
Catalyst 2960-P
Catalyst 2960-S
Catalyst 2960-SF
Catalyst 2960-X
Catalyst 2960-XR
Catalyst 2975
Catalyst 3560
Catalyst 3560-C
Catalyst 3560-CX
Catalyst 3560-E
Catalyst 3560-X
Catalyst 3650
Catalyst 3750
Catalyst 3750 Metro Series
Catalyst 3750-E
Catalyst 3750-X
Catalyst 3850
Catalyst 4500 Supervisor Engine, 6E, 6LE, 7E, 7LE, 8E, 8LE
Catalyst 6500 Supervisor Engine 2T-10GE
IE 2000
IE 3000
IE 3010
IE 4000
IE 4010
IE 5000
ME 3400E Series Ethernet Access
ME 3400 Series Ethernet Access
NME-16ES-1G-P
SM-ES2 SKUs
SM-ES3 SKUs
SM-X-ES3 SKUs
Catalyst 2960系列交换机15.2(2)E8,15.2(4)E6,15.2(6)E1及后续发布的IOS版本
Catalyst 3560/3750系列交换机15.2(4)E6及后续发布的IOS版本
Catalyst 3650/3850系列交换机16.3.6,3.6.8E及后续发布的IOS-XE版本
Catalyst 4500系列交换机3.6.8E及后续发布的IOS-XE版本
Catalyst65 Supervisor Engine 2T-10GE15.2(1)SY6及后续发布的IOS版本
IE系列交换机15.5(1)SY1及后续发布的IOS版本
ME系列交换机12.2(60)EZ12及后续发布的IOS版本
通过通过安恒研究院sumap平台查询,全球Smart Install服务主要分布情况如下,TCP 4786端口:
可以看到日本和中国最多,我们发现国外一些运营商已经开始屏蔽了一些地区TCP 4786端口,避免针对该端口的攻击可能对网络环境造成的影响。
通过安恒研究院sumap平台针对国内Smart Install服务TCP 4786端口受影响情况统计,最新查询分布情况如下:
可以看到台湾省最多。
可通过Nmap网络安全扫描工具扫描端口开放情况,验证运行Smart Install服务的IP资产是否开放TCP 4786端口,示例(Windows/Linux):
nmap -v -p T:4786 192.168.1.0/24
同时,也可以通过Cisco Security提供的Cisco IOS软件检查器,企业用户可以自行提交Cisco IOS和IOS XE软件版本号来查验是否存在漏洞或需要安全更新:
https://tools.cisco.com/security/center/softwarechecker.x
CiscoIOS和IOS XE可以通过输入(show version)命令查看设备软件版本号,比如Cisco IOS设备上:
Router>show version
CiscoIOS Software, C2951 Software (C2951-UNIVERSALK9-M), Version 15.5(2)T1, RELEASESOFTWARE (fc1)
TechnicalSupport: http://www.cisco.com/techsupport
Copyright(c) 1986-2015 by Cisco Systems, Inc.
CompiledMon 22-Jun-15 09:32 by prod_rel_team
在Cisco IOS XE 上:
ios-xe-device#show version
CiscoIOS Software, Catalyst L3 Switch Software (CAT3K_CAA-UNIVERSALK9-M), VersionDenali 16.2.1, RELEASE SOFTWARE (fc1)
TechnicalSupport: http://www.cisco.com/techsupport
Copyright(c) 1986-2016 by Cisco Systems, Inc.
CompiledSun 27-Mar-16 21:47 by mcpre
其中“Version 15.5(2)T1”和“Version Denali 16.2.1”为版本号,选择该版本号提交到软件检查器网站上查询即可。
针对Smart Install功能开启情况,可以执行(show vstack config)命令查看启用状态,比如在交换机上:
switch1#show vstack config
Role: Client (SmartInstall enabled)
switch2#show vstack config
Capability: Client
Oper Mode: Enabled
Role: Client
enabled显示功能开启,同时,也可以直接使用(show tcp brief all)命令查看端口监听情况,示例:
router#show tcp brief all | include 4786
47DFD528 0.0.0.0.4786 *.* LISTEN
建议不能打补丁前临时停用该功能,使用no vstack命令,示例:
switch1#conf t
switch1(config)#no vstack
switch1(config)#do wr
当停止功能后,再次查看状态:
switch# show vstack config
Role: Client (SmartInstall disabled)
Vstack Director IP address: 0.0.0.0
显示disabled。
建议利用设备自身安全策略限制或禁止外部访问设备TCP 4786端口,通过ACL控制,或是通过外围安全设备阻止对该端口访问,ACL配置示例:
ipaccess-list extended SMI_HARDENING_LIST
permit tcp host10.10.10.1 host 10.10.10.200 eq 4786
deny tcp any any eq4786
permit ip any any
interfaceGigabitEthernet0/0
ipaccess-group SMI_HARDENING_LIST in
!--只允许10.10.10.200访问10.10.10.1的TCP 4786端口。
或是直接阻止所有IP访问该端口,示例:
ipaccess-list extended SMI_HARDENING_LIST
deny tcp any any eq4786
permit ip any any
interfaceGigabitEthernet0/0
ipaccess-group SMI_HARDENING_LIST in
关于ACL配置说明可以参考Cisco文档:
https://www.cisco.com/c/zh_cn/support/docs/ip/access-lists/43920-iacl.html
上周热门文章TOP3