CISCO设备存在重要安全漏洞，抓紧自查修复

cheng029

漏洞预警|CVE-2018-0171:Cisco Smart Install远程命令执行

具体公告内容如下：

2018年3月28日，Cisco发布了一个远程代码执行严重漏洞通告。通告了思科IOS和IOS-XE系统的配置管理类协议Cisco Smart Install（Cisco私有协议）代码中存在一处缓冲区栈溢出漏洞，漏洞编号为CVE-2018-0171。攻击者无需用户验证即可向远端Cisco设备的 TCP 4786 端口发送精心构造的恶意数据包，触发漏洞造成设备远程执行Cisco系统命令或拒绝服务（DoS）。

漏洞相关的技术细节和验证程序已经公开，且互联网上受影响的主机数量非常大。由于此漏洞影响底层网络设备，且漏洞相关PoC已经公开并证实可用，极有可能构成巨大的现实威胁。故360威胁情报中心发布此通告提醒用户和企业采取必要防御应对措施。

漏洞概要

漏洞名称：CVE-2018-0171 Cisco Smart Install命令执行漏洞   

威胁类型：远程代码执行   

威胁等级：高   

漏洞ID：CVE-2018-0171   

漏洞利用条件：开启了Cisco Smart Install管理协议，且模式为client模式   

漏洞利用场景：攻击者无需用户验证即可向远端Cisco设备的TCP 4786端口发送精心构造的恶意数据包，触发漏洞造成设备远程执行Cisco系统命令或拒绝服务（DoS）。   

服务是否默认开启：是   

受影响系统及应用版本：  

确认受影响的型号
Catalyst 4500 Supervisor Engines
Cisco Catalyst 3850 Series Switches
Cisco Catalyst 2960 Series Switches
可能受影响的设备型号
Catalyst 3750 Series
Catalyst 3650 Series
Catalyst 3560 Series
Catalyst 2975 Series
IE 2000
IE 3000
IE 3010
IE 4000
IE 4010
IE 5000
SM-ES2 SKUs
SM-ES3 SKUs
NME-16ES-1G-P
SM-X-ES3 SKUs

不受影响影响系统及应用版本：未开启Cisco Smart Install管理协议或模式为Director模式的Cisco设备均不受影响。

漏洞描述

该漏洞存在于思科IOS和IOS-XE系统的配置管理类协议Cisco Smart Install一处缓冲区栈内。攻击者无需认证，远程向开启TCP 4786 且为client模式的Cisco设备端口发送精心构造的畸形数据包，会导致smi_ibc_handle_ibd_init_discovery_msg函数在处理该数据包时触发缓冲区栈溢出造成设备拒绝服务（DoS）或远程执行Cisco系统命令。

影响面评估

360威胁情报中心已经确认公开的PoC利用代码有效，且该漏洞整体影响面非常大，综合分析威胁等级为高。

处置建议

远程自查方法A：

确认目标设备是否开启4786/TCP端口，如果开启则表示可能受到影响。

比如用nmap扫描目标设备端口：

nmap -p T:4786 192.168.1.254

远程自查方法B：

使用Cisco提供的脚本探测是否开放Cisco Smart Install协议，若开启则可能受到影响。

# pythonsmi_check.py -i 192.168.1.254

[INFO] Sending TCP probe to targetip:4786

[INFO] Smart Install Client feature active on targetip:4786

[INFO]targetip is affected。

本地自查方法A：（需登录设备）

此外，可以通过以下命令确认是否开启 Smart Install Client 功能：

switch>show vstack config

Role:Client (SmartInstall enabled)

Vstack Director IP address: 0.0.0.0

switch>show tcp brief all

TCB Local Address Foreign Address (state)

0344B794 *.4786 *.* LISTEN

0350A018 *.443 *.* LISTEN

03293634 *.443 *.* LISTEN

03292D9C *.80 *.* LISTEN

03292504*.80 *.* LISTEN

本地自查方法B：（需登录设备）

switch>show version

将回显内容保存在a.txt中，并上传至Cisco的Cisco IOS Software Checker进行检测。

检测地址：https://tools.cisco.com/security/center/softwarechecker.x

修复方法

升级补丁：

思科官方已发布针对此漏洞的补丁但未提供下载链接，请联系思科获取补丁。

临时处置措施：(关闭协议)

switch#conf t

switch(config)#no vstack

switch(config)#do wr

switch(config)#exit

检查端口已经关掉：

switch>show tcp brief all

TCB Local Address Foreign Address (state)

0350A018 *.443 *.* LISTEN

03293634 *.443 *.* LISTEN

03292D9C *.80 *.* LISTEN

03292504*.80 *.* LISTEN

参考资料

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixed

beson2000

太棒了