漏洞互联网大漏洞

TLP:WHITEhttp://ti.
360.
netCiscoIOS与IOSXESoftwareSmartInstall远程命令执漏洞(CVE-2018-0171)通告文档信息编号360TI-SV-2018-008关键字CVE-2018-0171CiscoSmartInstall发布日期2018年3月30日更新日期2018年4月7日TLPWHITE分析团队360威胁情报中心通告背景2018年3月28日,Cisco发布了一个远程代码执行严重漏洞通告.
通告了思科IOS和IOS-XE系统的配置管理类协议CiscoSmartInstall(Cisco私有协议)代码中存在一处缓冲区栈溢出漏洞,漏洞编号为CVE-2018-0171.
攻击者无需用户验证即可向远端Cisco设备的TCP4786端口发送精心构造的恶意数据包,触发漏洞造成设备远程执行Cisco系统命令或拒绝服务(DoS).
漏洞相关的技术细节和验证程序已经公开,且互联网上受影响的主机数量非常大.
由于此漏洞影响底层网络设备,且漏洞相关PoC已经公开并证实可用,极有可能构成巨大的现实威胁.
2018年4月7日凌晨有IDC运营商报告有大量Cisco遭到利用此漏洞的攻击,导致设备配置被清空的情况,360威胁情报中心再次更新此通告提醒用户和企业尽快采取必要防御应对措施以保证网络的可用性.
漏洞概要漏洞名称CiscoIOS与IOSXESoftwareSmartInstall远程命令执行漏洞威胁类型远程代码执行威胁等级高漏洞IDCVE-2018-0171漏洞利用条件开启了CiscoSmartInstall管理协议,且模式为client模式漏洞利用场景攻击者无需用户验证即可向远端Cisco设备的TCP4786端口发送精心构造的恶意数据包,触发漏洞造成设备远程执行Cisco系统命令或拒绝服务(DoS).
服务是否默认开启是受影响系统及应用版本确认受影响的型号:Catalyst4500SupervisorEnginesCiscoCatalyst3850SeriesSwitchesTLP:WHITEhttp://ti.
360.
netCiscoCatalyst2960SeriesSwitches可能受影响的设备型号:Catalyst4500SupervisorEnginesCatalyst3850SeriesCatalyst3750SeriesCatalyst3650SeriesCatalyst3560SeriesCatalyst2960SeriesCatalyst2975SeriesIE2000IE3000IE3010IE4000IE4010IE5000SM-ES2SKUsSM-ES3SKUsNME-16ES-1G-PSM-X-ES3SKUs不受影响影响系统及应用版本未开启CiscoSmartInstall管理协议或模式为Director模式的Cisco设备均不受影响.
漏洞描述该漏洞存在于思科IOS和IOS-XE系统的配置管理类协议CiscoSmartInstall一处缓冲区栈内.
攻击者无需认证,远程向开启TCP4786且为client模式的Cisco设备端口发送精心构造的畸形数据包,会导致smi_ibc_handle_ibd_init_discovery_msg函数在处理该数据包时触发缓冲区栈溢出造成设备拒绝服务(DoS)或远程执行Cisco系统命令.
影响面评估360威胁情报中心已经确认公开的PoC利用代码有效,且该漏洞整体影响面非常大,综合分析威胁等级为高.
处置建议远程自查方法A:确认目标设备是否开启4786/TCP端口,如果开启则表示可能受到影响.
比如用nmap扫描目标设备端口:nmap-pT:4786192.
168.
1.
254TLP:WHITEhttp://ti.
360.
net远程自查方法B:使用Cisco提供的脚本探测是否开放CiscoSmartInstall协议,若开启则可能受到影响.
#pythonsmi_check.
py-i192.
168.
1.
254[INFO]SendingTCPprobetotargetip:4786[INFO]SmartInstallClientfeatureactiveontargetip:4786[INFO]targetipisaffected.
本地自查方法A:(需登录设备)此外,可以通过以下命令确认是否开启SmartInstallClient功能:switch>showvstackconfigRole:Client(SmartInstallenabled)VstackDirectorIPaddress:0.
0.
0.
0switch>showtcpbriefallTCBLocalAddressForeignAddress(state)0344B794*.
4786*.
*LISTEN0350A018*.
443*.
*LISTEN03293634*.
443*.
*LISTEN03292D9C*.
80*.
*LISTEN03292504*.
80*.
*LISTEN本地自查方法B:(需登录设备)switch>showversion将回显内容保存在a.
txt中,并上传至Cisco的CiscoIOSSoftwareChecker进行检测.
检测地址:https://tools.
cisco.
com/security/center/softwarechecker.
x修复方法升级补丁:思科官方已发布针对此漏洞的补丁但未提供下载链接,请联系思科获取补丁.
临时处置措施:(关闭协议)switch#conftswitch(config)#novstackswitch(config)#dowrswitch(config)#exit检查端口已经关掉:switch>showtcpbriefallTCBLocalAddressForeignAddress(state)0350A018*.
443*.
*LISTEN03293634*.
443*.
*LISTENTLP:WHITEhttp://ti.
360.
net03292D9C*.
80*.
*LISTEN03292504*.
80*.
*LISTEN参考资料https://tools.
cisco.
com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixedhttps://embedi.
com/blog/cisco-smart-install-remote-code-execution/更新历史时间内容2018年3月28日初始报告2018年3月29日补充内容2018年3月30日公开发布安全通告2018年4月7日加入已经出现的现实利用攻击情况