2018年3月末曝光的一个思科高危漏洞 CVE-2018-0171 在清明小长假期间被黑客利用发动攻击，国内多家机构中招，配置文件被清空，安全设备形同虚设。此漏洞影响底层网络设备，且漏洞 PoC 已公开，很有可能构成重大威胁。

CVE-2018-0171漏洞详情

思科3月28日发布安全公告指出，思科 IOS 和 IOS-XE 软件 Smart Install Client （开启了Cisco Smart Install管理协议，且模式为client模式）存在远程代码执行漏洞 CVE-2018-0171，CVSS 评分高达9.8分（总分10分）。攻击者可远程向 TCP 4786 端口发送恶意数据包，触发目标设备的栈溢出漏洞造成设备拒绝服务（DoS）或远程执行任意代码。

2018年3月29日，我国国家信息安全漏洞共享平台（简称 CNVD）收录了该漏洞，编号为 CNVD-2018-06774。 CNVD对该 漏洞的描述为：

Smart Install 作为一项即插即用配置和镜像管理功能，为新加入网络的交换机提供零配置部署，实现了自动化初始配置和操作系统镜像加载的过程，同时还提供配置文件的备份功能。Cisco Smart Install 存在远程命令执行漏洞，攻击者无需用户验证即可向远端Cisco 设备的 TCP 4786 端口发送精心构造的恶意数据包，触发漏洞让设备远程执行 Cisco 系统命令或拒绝服务（DoS）。

据 CNVD 发布的公告显示，全球 Cisco Smart Install系统规模为14.3万；按国家分布情况来看，用户量排名前三的分别是美国（29%）、中国（11%）和日本（6%）。

确认受影响的设备：

• Catalyst 4500 Supervisor Engines；[出自:jiwo.org]
  Cisco Catalyst 3850 Series Switches；
  Cisco Catalyst 2960 Series Switches。

以下包含 Smart Install Client 的设备可能受漏洞影响：

• Catalyst 4500 Supervisor Engines；
  Catalyst 3850 Series；
  Catalyst 3750 Series；
  Catalyst 3650 Series；
  Catalyst 3560 Series；
  Catalyst 2960 Series；
  Catalyst 2975 Series；

• IE 2000；
  IE 3000；
  IE 3010；
  IE 4000；
  IE 4010；
  IE 5000；

• SM-ES2 SKUs；
  SM-ES3 SKUs；
  NME-16ES-1G-P；
  SM-X-ES3 SKUs。

全球20多万台路由器受到影响

最初，研究人员认为，该漏洞只能被同网络中的黑客利用。

2018年4月5日，思科 Talos 团队发博文称，发现黑客利用该漏洞攻击关键基础设施。该团队通过搜索引擎 Shodan 发现，约有250,000个易受攻击的思科设备打开了TCP端口4786，潜在暴露的系统约16.8万个。在思科发布漏洞预警时，其研究人员在第一时间识别出大约有850万台设备使用了此端口，但无法确定这些系统上是否存在 Smart Install 功能。

伊朗、俄罗斯率先遭到攻击

2018年4月6日，黑客组织“JHT”利用思科的 Smart Install 安全漏洞 CVE-2018-0171 率先攻击了俄罗斯和伊朗的计算机基础设施，影响了互联网服务提供商、数据中心以及若干网站。黑客利用该漏洞将路由器重置为默认配置，并向受害者显示信息。

攻击者利用该漏洞对思科服务器发起攻击。随后，路由器的配置文件“startup-config”被重写，路由器重启，进而导致网络中断。除此之外，管理员还发现了路由器的 startup-config 文件被篡改为警告消息：“不要干扰我们的选举…-JHT”。除了禁用设备及让设备瘫痪，该组织还留下了一张美国国旗的图片。

Talos 团队认为，这起攻击与美国计算机应急响应小组2018年3月发布的警告（称俄罗斯政府瞄准能源和其它关键基础设施行业）有关。据推测，这正是该黑客组织为此做出的回应。攻击者表示，他们只是想传递信息。专家推测，这次大范围的网络攻击很可能是由民间黑客组织发起，以此来表示对俄罗斯干涉美国大选的不满。

黑客组织“JHT”向媒体透露，他们扫描了许多国家易遭受攻击的系统，但只将目标对准俄罗斯和伊朗的路由器。该黑客组织还表示其通过发出“no vstack”命令修复了在美国和英国路由器上发现的 Smart Install 安全漏洞。

受到攻击的路由器的启动配置

中国受影响设备约1.4万台

据路透社报道，伊朗通信与信息技术部表示，全球有20多万台路由器受到影响：

• 伊朗：3500台；

• 美国：5.5万台；

• 中国：1.4万台。

伊朗通信与信息技术部部长 Mohammad Javad Azari-Jahromi 在推特上表示，美国东部时间2018年4月6日下午1:12，伊朗95%受影响的路由器已恢复正常服务。伊朗IT部长穆罕默德•贾瓦德•阿扎里•贾赫罗米表示，攻击主要影响的是欧洲、印度和美国。

然而，2018年4月8日，中国多个机构也遭到了类似的攻击。

如何自查？

远程自查：

• 方法一：确认目标设备是否开启4786/TCP端口，如果开启则表示可能受到影响。比如用nmap扫描目标设备端口：
  nmap -p T:4786 192.168.1.254

• 方法二：使用Cisco提供的脚本探测是否开放Cisco Smart Install协议，若开启则可能受到影响。
  # python smi_check.py -i 192.168.1.254
  [INFO] Sending TCP probe to targetip:4786
  [INFO] Smart Install Client feature active on targetip:4786
  [INFO] targetip is affected。

本地自查（需登录设备）：

• 方法三：可以通过以下命令确认是否开启 Smart Install Client 功能：
  switch>show vstack config
  Role: Client (SmartInstall enabled)
  Vstack Director IP address: 0.0.0.0
  switch>show tcp brief all
  TCB Local Address Foreign Address (state)
  0344B794 *.4786 *.* LISTEN
  0350A018 *.443 *.* LISTEN
  03293634 *.443 *.* LISTEN
  03292D9C *.80 *.* LISTEN
  03292504 *.80 *.* LISTEN

• 方法四：switch>show version
  将回显内容保存在a.txt中，并上传至Cisco的Cisco IOS Software Checker进行检测。
  检测地址：https://tools.cisco.com/security/center/softwarechecker.x

临时处置措施（关闭协议）  

switch#conf t
switch(config)#no vstack
switch(config)#do wr
switch(config)#exit

检查端口已经关掉：

switch>show tcp brief all
TCB Local Address Foreign Address (state)
0350A018 *.443 *.* LISTEN
03293634 *.443 *.* LISTEN
03292D9C *.80 *.* LISTEN
03292504 *.80 *.* LISTEN