突发!思科底层设备漏洞遭滥用,国内多家IDC及机构网络瘫痪

转载 2018年04月17日 09:51:23

640?wx_fmt=gif&wxfrom=5&wx_lazy=1


640?wx_fmt=png&wxfrom=5&wx_lazy=1


一周前曝光的思科底层设备漏洞CVE-2018-0171利用代码正在国内互联网上肆虐。


安全内参从多位业内人士处获悉,清明小长假期间(4.6-4.7),国内多个IDC及组织机构遭到利用此漏洞的攻击,导致网络不可用,影响了业务连续性。


据了解,有用户设备直连公网遭到攻击,配置信息被清空,交换机瘫痪导致业务网络不可用,更换设备后才恢复正常。


4月7日下午5点,CNCERT旗下CNVD漏洞平台紧急发布安全公告,对思科Smart Install远程命令执行漏洞进行预警,正文如下:

CNCERT:Cisco Smart Install远程命令执行漏洞安全公告


安全公告编号:CNTA-2018-0013


2018年3月29日,国家信息安全漏洞共享平台(CNVD)收录了Cisco Smart Install远程命令执行漏洞(CNVD-2018-06774,对应CVE-2018-0171)。综合利用上述漏洞,允许未经身份验证的远程攻击者向远端Cisco设备的 TCP 4786 端口发送精心构造的恶意数据包,触发漏洞造成设备远程执行Cisco系统命令或拒绝服务(DoS)。目前,漏洞利用代码已公开,且厂商已发布漏洞修复版本。


一、漏洞情况分析


Smart Install 作为一项即插即用配置和镜像管理功能,为新加入网络的交换机提供零配置部署,实现了自动化初始配置和操作系统镜像加载的过程,同时还提供配置文件的备份功能。


Cisco SmartInstall存在远程命令执行漏洞,SMI IBC Server Process进程中包含了Smart Install Client的实现代码。Smart InstallClient在TCP(4786)端口上开启服务(默认开启),用来与 Smart Install Director 交互。当服务处理一段特殊构造的恶意信息ibd_init_discovery_msg时,因为未能检查拷贝到固定大小缓冲区的数据尺寸,大小和数据是直接从网络数据包中获得的,并由攻击者控制,smi_ibc_handle_ibd_init_discovery_msg函数在处理该数据包时会触发缓冲区栈溢出造成设备拒绝服务(DoS)或远程执行Cisco系统命令。


CNVD对上述漏洞的综合评级为“高危”。


二、漏洞影响范围


支持 SmartInstall Client模式的交换机受此漏洞影响,包括但不限于以下:


Catalyst 4500Supervisor Engines


Catalyst 3850Series


Catalyst 3750Series


Catalyst 3650Series


Catalyst 3560Series


Catalyst 2960Series


Catalyst 2975Series


IE 2000


IE 3000


IE 3010


IE 4000


IE 5000


SM-ES2 SKUs


SM-ES3 SKUs


NME-16ES-1G-P


SM-X-ES3 SKUs


根据CNVD技术组成员单位知道创宇公司提供的分析数据显示,全球Cisco Smart Install系统规模为14.3万;按国家分布情况来看,用户量排名前三的分别是美国(29%)、中国(11%)和日本(6%)。


三、漏洞修复建议


处置建议:


远程自查方法A:


确认目标设备是否开启4786/TCP端口,如果开启则表示可能受到影响。


比如用nmap扫描目标设备端口:

nmap -p T:4786 192.168.1.254

远程自查方法B:


使用Cisco提供的脚本探测是否开放Cisco Smart Install协议,若开启则可能受到影响。

# pythonsmi_check.py -i 192.168.1.254

本地自查方法A:(需登录设备)


此外,可以通过以下命令确认是否开启 Smart Install Client 功能:


switch>show vstack config


Role:Client (SmartInstall enabled)


Vstack Director IP address: 0.0.0.0


switch>show tcp brief all


TCB Local Address Foreign Address (state)


0344B794 *.4786 *.* LISTEN


0350A018 *.443 *.* LISTEN


03293634 *.443 *.* LISTEN


03292D9C *.80 *.* LISTEN


03292504*.80 *.* LISTEN


本地自查方法B:(需登录设备)


switch>show version


将回显内容保存在a.txt中,并上传至Cisco的CiscoIOS Software Checker进行检测。


检测地址:https://tools.cisco.com/security/center/softwarechecker.x


修复方法:


升级补丁:


思科官方已发布针对此漏洞的补丁但未提供下载链接,详细修复方案如下:


临时处置措施:(关闭协议)

switch#conf t

switch(config)#no vstack

switch(config)#do wr

switch(config)#exit

检查端口已经关掉:


switch>show tcp brief all


TCB Local Address Foreign Address (state)


0350A018 *.443 *.* LISTEN


03293634 *.443 *.* LISTEN


03292D9C *.80 *.* LISTEN


03292504*.80 *.* LISTEN


附:参考链接:


https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixed


https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2


https://embedi.com/blog/cisco-smart-install-remote-code-execution/


http://www.cnvd.org.cn/flaw/show/CNVD-2018-06774

境外黑客团队“白象”突然活跃,针对我国特定单位和个人发起攻击

概要微步在线长期跟踪全球超过100个黑客团伙组织,并发布《“白象”团伙最新动向分析》、《”白象”团伙借中印边境问题再次发起攻击》、《“白象”团伙最新钓鱼网站曝光》和《“白象”团伙开始利用DDE漏洞发起...
  • jHstGeWWubw
  • jHstGeWWubw
  • 2018-04-03 00:00:00
  • 107

思科对其VPN设备发出紧急高危漏洞警告!

思科对使用其网络安全设备和软件的客户发出高危漏洞警告。配置使用 WebVPN 的防火墙、安全设备和其它设备都容易受到网络攻击,允许攻击者绕过防御系统在设备上执行命令获得完整控制权限。漏洞将会影响启用V...
  • jHstGeWWubw
  • jHstGeWWubw
  • 2018-02-01 00:00:00
  • 228

思科设备漏洞研究与利用

一、    研究背景 1.1     研究网络设备的原因 路由器、防火墙、交换机等网络设备是整个互联网世界的联系纽带,占据着非常重要的地位,是计算机网络的一个一个节点。网络设备的安全性...
  • qq_27446553
  • qq_27446553
  • 2016-09-21 17:32:54
  • 1330

最新开源IDC代理PHP源码IDC平源码

  • 2018年03月27日 20:05
  • 12.54MB
  • 下载

思科NGA设备中发现的高严重性漏洞,漏洞可导致未经身份验证即可远程攻击设备

“Cisco NetFlow Generation Appliance(NGA)的流控制传输协议(SCTP)解码器中的漏洞可能允许未经身份验证的远程攻击者导致设备挂起或意外重新加载,从而导致拒绝服务(...
  • Anprou
  • Anprou
  • 2017-03-03 10:23:32
  • 340

思科承认路由器也存在“心血”漏洞

4月11日消息,据国外媒体报道,被称为“心血”的高风险加密漏洞并非只影响网站,思科与Juniper两家设备厂商日前表示,自己的部分网络硬件产品上也出现了这类漏洞。   两大网络设备制造商的表态意味着...
  • u014649213
  • u014649213
  • 2014-04-11 21:39:29
  • 371

Android手机严重漏洞,可造成手机全面瘫痪!

趋势科技发现最新Android系统漏洞,可利用藏有恶意软件的App或网页,针对Android 移动设备进行攻击,一旦用户安装此App或是浏览这些网页,将会开启一个有害的MKV文档,此文档将会在设备开机...
  • iqushi
  • iqushi
  • 2015-08-04 15:55:43
  • 1988

Cisco Auditing Tool ----思科路由漏洞扫描

Cisco Auditing Tool 简称CAT,属于小型的安全审计工具,它可检测出Cisco路由器常见的漏洞,能够发现注入默认密码,默认SNMP字符串和老版本IOS上存在的bugroot@kali...
  • CloudAtlasM
  • CloudAtlasM
  • 2017-08-24 21:35:05
  • 562

新浪网遭攻击瘫痪500分钟 被迫答应黑客要求

 为了要聊天频道的号码,张波买来“肉鸡”病毒攻击新浪网,造成网络瘫痪500余分钟,新浪被迫两度答应其要求拱手献出好号。昨天,张波因涉嫌破坏计算机信息系统罪站上海淀法院的被告席。新浪网提出了57万元的附...
  • smarttony
  • smarttony
  • 2008-12-04 13:17:00
  • 1112

轻松应对IDC机房带宽突然暴涨问题(链接)

http://oldboy.blog.51cto.com/2561410/909696/
  • O_ORick
  • O_ORick
  • 2017-07-25 23:35:20
  • 170
收藏助手
不良信息举报
您举报文章:突发!思科底层设备漏洞遭滥用,国内多家IDC及机构网络瘫痪
举报原因:
原因补充:

(最多只允许输入30个字)