|
|
| 顶 | 踩 |
| 标题 | 简介 | 类型 | 公开时间 | ||||||||||||||||||
|
|||||||||||||||||||||
|
|||||||||||||||||||||
| 详情 | |||||||||||||||||||||
|
[SAFE-ID: JIWO-2024-1440] 作者: ecawen 发表于: [2018-04-08]
本文共 [523] 位读者顶过
2018年3月28日,Cisco发布了一个远程代码执行严重漏洞通告。通告了思科IOS和IOS-XE系统的配置管理类协议Cisco Smart Install(Cisco私有协议)代码中存在一处缓冲区栈溢出漏洞,漏洞编号为CVE-2018-0171。攻击者无需用户验证即可向远端Cisco设备的 TCP 4786 端口发送精心构造的恶意数据包,触发漏洞造成设备远程执行Cisco系统命令或拒绝服务(DoS)。
[出自:jiwo.org]
漏洞相关的技术细节和验证程序已经公开,且互联网上受影响的主机数量非常大。由于此漏洞影响底层网络设备,且漏洞相关PoC已经公开并证实可用,极有可能构成巨大的现实威胁。故360威胁情报中心发布此通告提醒用户和企业采取必要防御应对措施。
漏洞概要
漏洞描述
该漏洞存在于思科IOS和IOS-XE系统的配置管理类协议Cisco Smart Install一处缓冲区栈内。攻击者无需认证,远程向开启TCP 4786 且为client模式的Cisco设备端口发送精心构造的畸形数据包,会导致smi_ibc_handle_ibd_init_discovery_msg函数在处理该数据包时触发缓冲区栈溢出造成设备拒绝服务(DoS)或远程执行Cisco系统命令。
影响面评估
360威胁情报中心已经确认公开的PoC利用代码有效,且该漏洞整体影响面非常大,综合分析威胁等级为高。
处置建议
远程自查方法A:
确认目标设备是否开启4786/TCP端口,如果开启则表示可能受到影响。
比如用nmap扫描目标设备端口:
nmap -p T:4786 192.168.1.254
远程自查方法B:
使用Cisco提供的脚本探测是否开放Cisco Smart Install协议,若开启则可能受到影响。
# pythonsmi_check.py -i 192.168.1.254
[INFO] Sending TCP probe to targetip:4786
[INFO] Smart Install Client feature active on targetip:4786
[INFO]targetip is affected。
本地自查方法A:(需登录设备)
此外,可以通过以下命令确认是否开启 Smart Install Client 功能:
switch>show vstack config
Role: Client (SmartInstall enabled)
Vstack Director IP address: 0.0.0.0
switch>show tcp brief all
TCB Local Address Foreign Address (state)
0344B794 *.4786 *.* LISTEN
0350A018 *.443 *.* LISTEN
03293634 *.443 *.* LISTEN
03292D9C *.80 *.* LISTEN
03292504*.80 *.* LISTEN
本地自查方法B:(需登录设备)
switch>show version
将回显内容保存在a.txt中,并上传至Cisco的Cisco IOS Software Checker进行检测。
修复方法
升级补丁:
思科官方已发布针对此漏洞的补丁但未提供下载链接,请联系思科获取补丁。
临时处置措施:(关闭协议)
switch#conf t
switch(config)#no vstack
switch(config)#do wr
switch(config)#exit
检查端口已经关掉:
switch>show tcp brief all
TCB Local Address Foreign Address (state)
0350A018 *.443 *.* LISTEN
03293634 *.443 *.* LISTEN
03292D9C *.80 *.* LISTEN
03292504*.80 *.* LISTEN
|
|||||||||||||||||||||
|
|
|
| 顶 | 踩 |