2018

06/26

09:11

来源:
互联网安全内参公号

微信

新浪

关于思科底层设备漏洞的风险提示

  一周前曝光的思科底层设备漏洞CVE-2018-0171利用代码正在国内互联网上肆虐。清明小长假期间(4.6-4.7),国内多个IDC及组织机构遭到利用此漏洞的攻击,导致网络不可用,影响了业务连续性。

  据了解,有用户设备直连公网遭到攻击,配置信息被清空,交换机瘫痪导致业务网络不可用,更换设备后才恢复正常。4月7日下午5点,CNCERT旗下CNVD漏洞平台紧急发布安全公告,对思科Smart Install远程命令执行漏洞进行预警,正文如下:

  CNCERT:Cisco Smart Install远程命令

  执行漏洞安全公告

  安全公告编号:CNTA-2018-0013

  2018年3月29日,国家信息安全漏洞共享平台(CNVD)收录了Cisco Smart Install远程命令执行漏洞(CNVD-2018-06774,对应CVE-2018-0171)。综合利用上述漏洞,允许未经身份验证的远程攻击者向远端Cisco设备的 TCP 4786 端口发送精心构造的恶意数据包,触发漏洞造成设备远程执行Cisco系统命令或拒绝服务(DoS)。目前,漏洞利用代码已公开,且厂商已发布漏洞修复版本。

  一、漏洞情况分析

  Smart Install 作为一项即插即用配置和镜像管理功能,为新加入网络的交换机提供零配置部署,实现了自动化初始配置和操作系统镜像加载的过程,同时还提供配置文件的备份功能。

  Cisco SmartInstall存在远程命令执行漏洞,SMI IBC Server Process进程中包含了Smart Install Client的实现代码。Smart InstallClient在TCP(4786)端口上开启服务(默认开启),用来与 Smart Install Director 交互。当服务处理一段特殊构造的恶意信息ibd_init_discovery_msg时,因为未能检查拷贝到固定大小缓冲区的数据尺寸,大小和数据是直接从网络数据包中获得的,并由攻击者控制,smi_ibc_handle_ibd_init_discovery_msg函数在处理该数据包时会触发缓冲区栈溢出造成设备拒绝服务(DoS)或远程执行Cisco系统命令。

  CNVD对上述漏洞的综合评级为“高危”。

  二、漏洞影响范围

  支持 SmartInstall Client模式的交换机受此漏洞影响,包括但不限于以下:

  Catalyst 4500Supervisor Engines

  Catalyst 3850Series

  Catalyst 3750Series

  Catalyst 3650Series

  Catalyst 3560Series

  Catalyst 2960Series

  Catalyst 2975Series

  IE 2000

  IE 3000

  IE 3010

  IE 4000

  IE 5000

  SM-ES2 SKUs

  SM-ES3 SKUs

  NME-16ES-1G-P

  SM-X-ES3 SKUs

  三、漏洞修复建议

  远程自查方法A:

  确认目标设备是否开启4786/TCP端口,如果开启则表示可能受到影响。

  比如用nmap扫描目标设备端口:

  nmap -p T:4786 192.168.1.254

  远程自查方法B:

  使用Cisco提供的脚本探测是否开放Cisco Smart Install协议,若开启则可能受到影响。

  # pythonsmi_check.py -i 192.168.1.254

  本地自查方法A:(需登录设备)

  此外,可以通过以下命令确认是否开启 Smart Install Client 功能:

  switch>show vstack config

  Role:Client (SmartInstall enabled)

  Vstack Director IP address: 0.0.0.0

  switch>show tcp brief all

  TCB Local Address Foreign Address (state)

  0344B794 *.4786 *.* LISTEN

  0350A018 *.443 *.* LISTEN

  03293634 *.443 *.* LISTEN

  03292D9C *.80 *.* LISTEN

  03292504*.80 *.* LISTEN

  本地自查方法B:(需登录设备)

  switch>show version

  将回显内容保存在a.txt中,并上传至Cisco的CiscoIOS Software Checker进行检测。

  检测地址:https://tools.cisco.com/security/center/softwarechecker.x

  修复方法:

  升级补丁:

  思科官方已发布针对此漏洞的补丁但未提供下载链接,详细修复方案如下:

  临时处置措施:(关闭协议)

  switch#conf t

  switch(config)#no vstack

  switch(config)#do wr

  switch(config)#exit

  检查端口已经关掉:

  switch>show tcp brief all

  TCB Local Address Foreign Address (state)

  0350A018 *.443 *.* LISTEN

  03293634 *.443 *.* LISTEN

  03292D9C *.80 *.* LISTEN

  03292504*.80 *.* LISTEN

  附:参考链接

  https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixed

  https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2

  https://embedi.com/blog/cisco-smart-install-remote-code-execution/

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-06774

  天津市网信办提示广大互联网用户和企业采取有效措施进行防控:及时按照上述方法开展自查,下载安装针对漏洞的补丁,避免出现网络安全事故。

关于思科底层设备漏洞的风险提示

2018 09:11来源:互联网安全内参公号

  一周前曝光的思科底层设备漏洞CVE-2018-0171利用代码正在国内互联网上肆虐。清明小长假期间(4.6-4.7),国内多个IDC及组织机构遭到利用此漏洞的攻击,导致网络不可用,影响了业务连续性。

  据了解,有用户设备直连公网遭到攻击,配置信息被清空,交换机瘫痪导致业务网络不可用,更换设备后才恢复正常。4月7日下午5点,CNCERT旗下CNVD漏洞平台紧急发布安全公告,对思科Smart Install远程命令执行漏洞进行预警,正文如下:

  CNCERT:Cisco Smart Install远程命令

  执行漏洞安全公告

  安全公告编号:CNTA-2018-0013

  2018年3月29日,国家信息安全漏洞共享平台(CNVD)收录了Cisco Smart Install远程命令执行漏洞(CNVD-2018-06774,对应CVE-2018-0171)。综合利用上述漏洞,允许未经身份验证的远程攻击者向远端Cisco设备的 TCP 4786 端口发送精心构造的恶意数据包,触发漏洞造成设备远程执行Cisco系统命令或拒绝服务(DoS)。目前,漏洞利用代码已公开,且厂商已发布漏洞修复版本。

  一、漏洞情况分析

  Smart Install 作为一项即插即用配置和镜像管理功能,为新加入网络的交换机提供零配置部署,实现了自动化初始配置和操作系统镜像加载的过程,同时还提供配置文件的备份功能。

  Cisco SmartInstall存在远程命令执行漏洞,SMI IBC Server Process进程中包含了Smart Install Client的实现代码。Smart InstallClient在TCP(4786)端口上开启服务(默认开启),用来与 Smart Install Director 交互。当服务处理一段特殊构造的恶意信息ibd_init_discovery_msg时,因为未能检查拷贝到固定大小缓冲区的数据尺寸,大小和数据是直接从网络数据包中获得的,并由攻击者控制,smi_ibc_handle_ibd_init_discovery_msg函数在处理该数据包时会触发缓冲区栈溢出造成设备拒绝服务(DoS)或远程执行Cisco系统命令。

  CNVD对上述漏洞的综合评级为“高危”。

  二、漏洞影响范围

  支持 SmartInstall Client模式的交换机受此漏洞影响,包括但不限于以下:

  Catalyst 4500Supervisor Engines

  Catalyst 3850Series

  Catalyst 3750Series

  Catalyst 3650Series

  Catalyst 3560Series

  Catalyst 2960Series

  Catalyst 2975Series

  IE 2000

  IE 3000

  IE 3010

  IE 4000

  IE 5000

  SM-ES2 SKUs

  SM-ES3 SKUs

  NME-16ES-1G-P

  SM-X-ES3 SKUs

  三、漏洞修复建议

  远程自查方法A:

  确认目标设备是否开启4786/TCP端口,如果开启则表示可能受到影响。

  比如用nmap扫描目标设备端口:

  nmap -p T:4786 192.168.1.254

  远程自查方法B:

  使用Cisco提供的脚本探测是否开放Cisco Smart Install协议,若开启则可能受到影响。

  # pythonsmi_check.py -i 192.168.1.254

  本地自查方法A:(需登录设备)

  此外,可以通过以下命令确认是否开启 Smart Install Client 功能:

  switch>show vstack config

  Role:Client (SmartInstall enabled)

  Vstack Director IP address: 0.0.0.0

  switch>show tcp brief all

  TCB Local Address Foreign Address (state)

  0344B794 *.4786 *.* LISTEN

  0350A018 *.443 *.* LISTEN

  03293634 *.443 *.* LISTEN

  03292D9C *.80 *.* LISTEN

  03292504*.80 *.* LISTEN

  本地自查方法B:(需登录设备)

  switch>show version

  将回显内容保存在a.txt中,并上传至Cisco的CiscoIOS Software Checker进行检测。

  检测地址:https://tools.cisco.com/security/center/softwarechecker.x

  修复方法:

  升级补丁:

  思科官方已发布针对此漏洞的补丁但未提供下载链接,详细修复方案如下:

  临时处置措施:(关闭协议)

  switch#conf t

  switch(config)#no vstack

  switch(config)#do wr

  switch(config)#exit

  检查端口已经关掉:

  switch>show tcp brief all

  TCB Local Address Foreign Address (state)

  0350A018 *.443 *.* LISTEN

  03293634 *.443 *.* LISTEN

  03292D9C *.80 *.* LISTEN

  03292504*.80 *.* LISTEN

  附:参考链接

  https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixed

  https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2

  https://embedi.com/blog/cisco-smart-install-remote-code-execution/

  http://www.cnvd.org.cn/flaw/show/CNVD-2018-06774

  天津市网信办提示广大互联网用户和企业采取有效措施进行防控:及时按照上述方法开展自查,下载安装针对漏洞的补丁,避免出现网络安全事故。

为你推荐

国家计算机病毒应急处理中心监测发现六

国家计算机病毒应急处理中心近日通过互联网监测发现,六款违法有害移动应用存在于移动应用发布平台中,其主要危害涉及恶意传播和隐私窃取两类。

关于Xbash恶意软件的预警提示

近期,多家安全厂商监测发现一款主要针对Linux和Windows服务器、具备勒索和挖矿功能的恶意软件Xbash,该恶意软件具有自我传播和快速扩散的能力……

关于Struts2存在高危漏洞的预警提示

2018年8月22日,Apache Struts2官方发布了最新的安全公告,披露了一个远程命令执行漏洞(漏洞编号:CVE-2018-11776,官方编号:S2-057),攻击者可利用漏洞实施远程命令执行攻击。