漏洞預警 CVE-2018-0171 Cisco Smart Install遠程命令執行

公告類型

漏洞描述

        思科 IOS 和 IOS-XE 系統 Smart Install Client 代碼中存在一個緩沖區堆棧溢出漏洞(CVE-2018-0171)。攻擊者可以遠程向 TCP 4786 端口發送一個惡意數據包,觸發目標設備的棧溢出漏洞,造成設備拒絕服務(DoS)或在造成遠程命令執行。攻擊者可以利用這個漏洞導致設備重啟或配置丟失,從而導致業務發生中斷。
如果設備不啟用Smart Install Client 功能將不受到影響。
可能受到影響的設備類型

  • Catalyst 2960
  • Catalyst 2960-C
  • Catalyst 2960-CX
  • Catalyst 2960-L
  • Catalyst 2960-P
  • Catalyst 2960-S
  • Catalyst 2960-SF
  • Catalyst 2960-X
  • Catalyst 2960-XR
  • Catalyst 2975
  • Catalyst 3560
  • Catalyst 3560-C
  • Catalyst 3560-CX
  • Catalyst 3560-E
  • Catalyst 3560-X
  • Catalyst 3650
  • Catalyst 3750
  • Catalyst 3750 Metro Series
  • Catalyst 3750-E
  • Catalyst 3750-X
  • Catalyst 3850
  • Catalyst 4500 Supervisor Engine, 6E, 6LE, 7E, 7LE, 8E, 8LE
  • Catalyst 6500 Supervisor Engine 2T-10GE
  • IE 2000
  • IE 3000
  • IE 3010
  • IE 4000
  • IE 4010
  • IE 5000
  • ME 3400E Series Ethernet Access
  • ME 3400 Series Ethernet Access
  • NME-16ES-1G-P
  • SM-ES2 SKUs
  • SM-ES3 SKUs
  • SM-X-ES3 SKUs

        不受影響系統及應用版本

  1. 手工關閉了Cisco Smart Install管理協議,或模式為Director模式的Cisco設備均不受影響。(注:所有相關產品在出廠時默認開啟了該項功能)
  2. 具備以下軟件版本的設備不在影響范圍之內:
  • Catalyst 2960系列交換機:15.2(2)E8,15.2(4)E6,15.2(6)E1及后續發布的IOS版本
  • Catalyst 3560/3750系列交換機:15.2(4)E6及后續發布的IOS版本
  • Catalyst 3650/3850系列交換機:16.3.6,3.6.8E及后續發布的IOS-XE版本
  • Catalyst 4500系列交換機:3.6.8E及后續發布的IOS-XE版本
  • Catalyst65 Supervisor Engine 2T-10GE:15.2(1)SY6及后續發布的IOS版本
  • IE系列交換機:15.5(1)SY1及后續發布的IOS版本
  • ME系列交換機:12.2(60)EZ12及后續發布的IOS版本

漏洞檢測

       對于可能存在“Cisco Smart Install遠程命令執行”漏洞的設備,思科提供如下的檢查方法,快速定位使用設備是否存在該項漏洞。
      方法一:通過命令行命令確認Smart Install Client功能是否開啟
      在設備的命令行輸入命令可以直接檢查Smart Install Client功能是否開啟,命令執行結果如下所示:

     switch>show vstack config | inc Role
     Role: Client (SmartInstall enabled)

     方法二:通過命令行命令確認Smart Install Client所使用的TCP端口是否激活
      對于部分軟件版本過于陳舊的設備,命令行不支持“vstack”相關命令,但也可能存在該功能漏洞,可以通過直接檢查TCP端口4786是否激活的方式,用于確認是否可能存在該漏洞,命令執行結果如下所示:
switch>show tcp brief all
TCB       Local Address            Foreign Address             (state)
05FD9F98  0.0.0.0.4786               *.*                         LISTEN
0568FFFC  0.0.0.0.443                *.*                         LISTEN
0568F038  0.0.0.0.443                *.*                         LISTEN
0568E428  0.0.0.0.80                 *.*                         LISTEN
0568D818  0.0.0.0.80                 *.*                         LISTEN

通過以上兩種方法,可以快速定位設備是否存在該項漏洞,或是Cisco Smart Install Client功能是否處于激活狀態。

漏洞修復

    對于可能存在“Cisco Smart Install遠程命令執行”漏洞的設備,思科提供如下的技術手段,規避該漏洞所帶來的風險。
    方法一:將設備軟件升級到最新軟件版本
通過升級設備所使用的軟件版本,可以修復設備的該漏洞,所需的軟件版本,可在Cisco IOS Software Checker網站上進行查詢,也可以聯系思科代理商或是思科公司獲取相關的軟件。

    方法二:關閉“Smart Install Client”功能
升級設備軟件,會導致設備的重新啟動,可能會影響到網絡的使用,如果需要暫時性的規避該漏洞所帶來的風險,可以采用手工關閉“Smart Install Client”的功能的方法,在線的規避風險,關閉該功能的命令及運行結果如下所示:
switch(config)#no vstack
switch#show vstack config | inc Role
 Role: Client (SmartInstall disabled)

     方法三:設備不支持“no vstack”命令
部分軟件版本過于陳舊的設備,可能不支持“no vstack”命令,如果檢查出該設備具有該漏洞,可以通過手工部署ACL的方法,規避風險。使用的命令如下所示:
ip access-list extended SMI_HARDENING_LIST
    deny tcp any any eq 4786
    permit ip any any
interface GigabitEthernet0/0
 ip access-group SMI_HARDENING_LIST in

    方法四:需要使用SMART Install Client功能場景,但無法升級軟件版本
在部分場景,需要使用Smart Install Client的功能,但由于無法升級軟件,可通過對TCP端口4786進行訪問控制,僅允許Smart Install Director和Smart Install Client進行通信,避免惡意攻擊。使用的命令如下所示:
ip access-list extended SMI_HARDENING_LIST
    permit tcp host 10.10.10.1 host 10.10.10.200 eq 4786
    deny tcp any any eq 4786
    permit ip any any
interface GigabitEthernet0/0
 ip access-group SMI_HARDENING_LIST in

以上方法均無法執行,可以聯系思科公司

 

中国6一12呦女精品