论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 1 篇帖子 ] 
作者 内容
 文章标题 : 思科0day漏洞CVE-2016-6415底层设备漏洞
帖子发表于 : 2018-04-09 09:22 
离线
版主

注册: 2005-03-17 10:09
最近: 2018-04-11 10:59
拥有: 4,533.20 安全币

奖励: 778 安全币
在线: 14723 点
帖子: 1194
来源:天津网信
http://www.ifore.com.cn/tj/system/2018/ ... 6077.shtml

一周前曝光的思科底层设备漏洞CVE-2018-0171利用代码正在国内互联网上肆虐。清明小长假期间(4.6-4.7),国内多个IDC及组织机构遭到利用此漏洞的攻击,导致网络不可用,影响了业务连续性。
  据了解,有用户设备直连公网遭到攻击,配置信息被清空,交换机瘫痪导致业务网络不可用,更换设备后才恢复正常。4月7日下午5点,CNCERT旗下CNVD漏洞平台紧急发布安全公告,对思科Smart Install远程命令执行漏洞进行预警,正文如下:
  CNCERT:Cisco Smart Install远程命令
  执行漏洞安全公告
  安全公告编号:CNTA-2018-0013
  2018年3月29日,国家信息安全漏洞共享平台(CNVD)收录了Cisco Smart Install远程命令执行漏洞(CNVD-2018-06774,对应CVE-2018-0171)。综合利用上述漏洞,允许未经身份验证的远程攻击者向远端Cisco设备的 TCP 4786 端口发送精心构造的恶意数据包,触发漏洞造成设备远程执行Cisco系统命令或拒绝服务(DoS)。目前,漏洞利用代码已公开,且厂商已发布漏洞修复版本。
  一、漏洞情况分析
  Smart Install 作为一项即插即用配置和镜像管理功能,为新加入网络的交换机提供零配置部署,实现了自动化初始配置和操作系统镜像加载的过程,同时还提供配置文件的备份功能。
  Cisco SmartInstall存在远程命令执行漏洞,SMI IBC Server Process进程中包含了Smart Install Client的实现代码。Smart InstallClient在TCP(4786)端口上开启服务(默认开启),用来与 Smart Install Director 交互。当服务处理一段特殊构造的恶意信息ibd_init_discovery_msg时,因为未能检查拷贝到固定大小缓冲区的数据尺寸,大小和数据是直接从网络数据包中获得的,并由攻击者控制,smi_ibc_handle_ibd_init_discovery_msg函数在处理该数据包时会触发缓冲区栈溢出造成设备拒绝服务(DoS)或远程执行Cisco系统命令。
  CNVD对上述漏洞的综合评级为“高危”。
  二、漏洞影响范围
  支持 SmartInstall Client模式的交换机受此漏洞影响,包括但不限于以下:
  Catalyst 4500Supervisor Engines
  Catalyst 3850Series
  Catalyst 3750Series
  Catalyst 3650Series
  Catalyst 3560Series
  Catalyst 2960Series
  Catalyst 2975Series
  IE 2000
  IE 3000
  IE 3010
  IE 4000
  IE 5000
  SM-ES2 SKUs
  SM-ES3 SKUs
  NME-16ES-1G-P
  SM-X-ES3 SKUs
  三、漏洞修复建议
  远程自查方法A:
  确认目标设备是否开启4786/TCP端口,如果开启则表示可能受到影响。
  比如用nmap扫描目标设备端口:
  nmap -p T:4786 192.168.1.254
  远程自查方法B:
  使用Cisco提供的脚本探测是否开放Cisco Smart Install协议,若开启则可能受到影响。
  # pythonsmi_check.py -i 192.168.1.254
  本地自查方法A:(需登录设备)
  此外,可以通过以下命令确认是否开启 Smart Install Client 功能:
  switch>show vstack config
  Role:Client (SmartInstall enabled)
  Vstack Director IP address: 0.0.0.0
  switch>show tcp brief all
  TCB Local Address Foreign Address (state)
  0344B794 *.4786 *.* LISTEN
  0350A018 *.443 *.* LISTEN
  03293634 *.443 *.* LISTEN
  03292D9C *.80 *.* LISTEN
  03292504*.80 *.* LISTEN
  本地自查方法B:(需登录设备)
  switch>show version
  将回显内容保存在a.txt中,并上传至Cisco的CiscoIOS Software Checker进行检测。
  检测地址:
  https://tools.cisco.com/security/center/softwarechecker.x
  修复方法:
  升级补丁:
  思科官方已发布针对此漏洞的补丁但未提供下载链接,详细修复方案如下:
  临时处置措施:(关闭协议)
  switch#conf t
  switch(config)#no vstack
  switch(config)#do wr
  switch(config)#exit
  检查端口已经关掉:
  switch>show tcp brief all
  TCB Local Address Foreign Address (state)
  0350A018 *.443 *.* LISTEN
  03293634 *.443 *.* LISTEN
  03292D9C *.80 *.* LISTEN
  03292504*.80 *.* LISTEN
  附:参考链接
  https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixed
  https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2
  https://embedi.com/blog/cisco-smart-install-remote-code-execution/
  http://www.cnvd.org.cn/flaw/show/CNVD-2018-06774
  天津市网信办提示广大互联网用户和企业采取有效措施进行防控:及时按照上述方法开展自查,下载安装针对漏洞的补丁,避免出现网络安全事故。


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 1 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 2 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
华安信达(CISPS.org) ©2003 - 2012