思科Smart Install远程命令执行漏洞探测及应急处置
漏洞背景
详情见360-CERT的报告这边不再叙述,只讲如何快速探测和应急处置。
E文好的同学可以看这篇
https://embedi.com/blog/cisco-smart-install-remote-code-execution/
目前并没有利用EXP放出来,连上面放出来的poc也是不完整的。这玩意儿一旦放出来真的是个大杀器,如果端口对外开放了,拿起exp就是长驱直入。
公网对外开放的还有不少。
探测
搭建了巡风的可以搜索 port:4786
下载搜索结果,或者使用 nmap、masscan扫描4786端口。
使用下面的脚本探测对应IP端口是否确实开放的是思科SMI协议
https://github.com/Cisco-Talos/smi_check/blob/master/smi_check.py
协议特征可以参见msf扒拉出来的
https://github.com/rapid7/metasploit-framework/commit/c67e407c9c5cd28d555e1c2614776e05b628749d
# python smi_check.py -i targetip
[INFO] Sending TCP probe to targetip:4786
[INFO] Smart Install Client feature active on targetip:4786
[INFO] targetip is affected
也可以直接在思科机子上执行命令判断,开放了4786端口即使用了SMI。
#show tcp brief all
TCB Local Address Foreign Address (state)
0783359C *.4786 *.* LISTEN
075A0088 *.443 *.* LISTEN
0759F6C8 *.443 *.* LISTEN
0759ED08 *.80 *.* LISTEN
0759E348 *.80 *.* LISTEN
应急处置
#conf t
Enter configuration commands, one per line. End with CNTL/Z.
NSJ-131-6-16-C2960_7(config)#no vstack
NSJ-131-6-16-C2960_7(config)#exit
关键的就是这句 no vstack
再看,端口已经关掉了。
#show tcp brief all
TCB Local Address Foreign Address (state)
075A0088 *.443 *.* LISTEN
0759F6C8 *.443 *.* LISTEN
0759ED08 *.80 *.* LISTEN
0759E348 *.80 *.* LISTEN
默认口令问题
其实还有一个思科的问题被大家忽略了,但是 YSRC 这边没有对应版本用来测试,大家可以自行测试一下。
影响范围见官方公告
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-xesc
被老外嘲讽了
其实不少厂家有类似这种不会对客户讲的隐藏账号,用于调试设备啥的。
但是你要是说是留了个**,也可以。
默认口令据说是 cisco/$un7zu
往期文章
巡风已支持检测 CVE-2017-3506 weblogic漏洞
Exploiting Python PIL Module Command Execution Vulnerability
Eat.Hack.Sleep.Repeat - YSRC 第二期夏日安全之旅
Django的两个url跳转漏洞分析:CVE-2017-7233&7234
A BLACK PATH TOWARD THE SUN - HTTP Tunnel 工具简介