AG公司

English

清静产品与计划
行业解决计划
清静服务与运营
清静研究
相助同伴
手艺支持

基础设施清静
数据清静
云盘算清静
AI清静
工业互联网清静
物联网清静
信息手艺应用立异
所有产品
所有解决计划

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

CH

EN

清静产品与计划

基础设施清静网络清静清静治理应用清静终端清静身份与会见治理解决计划数据清静数据清静产品解决计划云盘算清静云盘算清静产品解决计划 AI清静 AI清静产品解决计划工业互联网清静工业互联网清静产品解决计划物联网清静物联网清静产品解决计划信息手艺应用立异信创类清静产品
行业解决计划

政府运营商金融能源交通企业科教文卫
清静服务与运营

基础服务清静咨询清静测试清静运维应急响应清静开发场景服务红蓝对抗重保支持数据清静服务DSS 勒索评估服务RPG 企业清静运营中心建设SOC 蓝军一体化平台NICP 自动化渗透测试工具EZ 清静运营服务 AG公司网站清静监测服务Websafe AG公司黑洞云洗濯服务 CCSS AG公司网站云防护服务 WCP AG公司威胁情报中心NTI AG公司科技威胁情报云端解决计划 AG公司科技威胁情报外地解决计划 AG公司威胁检测与响应服务MDR AG公司外部攻击面治理服务EASM AG公司轻量化渗透测试服务PTaaS 智慧都会清静运营智慧都会清静运营 AG公司云 AG公司云
清静研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2024年度报告清静通告威胁通告
相助同伴

相助同伴相助同伴动态成为相助同伴申请成为相助同伴
手艺支持

服务支持服务热线盟管家服务维保服务产品支持产品清静产品手册常见问题产品生命周期通告软件升级北京AG公司公益基金会鲲鹏基金产品清静软件升级

返回列表

Cisco IOS/IOS XE远程代码执行误差（CVE-2018-0171）

2018-04-10

宣布者：AG公司科技

一. 误差概述

2018年3月28日，Cisco IOS以及IOS XE软件被发明保存一个严重误差CVE-2018-0171。攻击者可以在未授权的情形下通过重新加载（reload）装备造成拒绝服务条件，或者远程执行代码。Smart Install是为新的LAN以太网交流机提供零触摸安排的即插即用设置和图形治理功效，在TCP端口4786上运行的Cisco专用协议，若装备启用了Smart Install功效且对外开放4786端口，攻击者就可通过发送畸形Smart Install报文来使用此误差，使得装备缓冲区溢出，导致拒绝服务以致远程代码执行等效果。

相关链接：

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2

4月8日，攻击者疑似使用了思科IOS/IOS XE远程代码执行误差cve-2018-0171举行大规模攻击，其中包括海内多个机构，遭受攻击的企业会导致装备瘫痪，同时设置文件被修改。

二. 误差影响

所爆出的误差影响所有运行Cisco IOS或IOS XE软件并且开启了智能装置（Smart Install）特征的装备，详情请参考Cisco官方通告：

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2

现在已知受影响装备/软件为：

确认受影响的装备型号：

? Catalyst 4500 Supervisor Engines

? Cisco Catalyst 3850 Series Switches

? Cisco Catalyst 2960 Series Switches

可能受影响的装备型号：

? Catalyst 4500 Supervisor Engines

? Catalyst 3850 Series

? Catalyst 3750 Series

? Catalyst 3650 Series

? Catalyst 3560 Series

? Catalyst 2960 Series

? Catalyst 2975 Series

? IE 2000

? IE 3000

? IE 3010

? IE 4000

? IE 4010

? IE 5000

? SM-ES2 SKUs

? SM-ES3 SKUs

? NME-16ES-1G-P

? SM-X-ES3 SKUs

三. 影响排查

误差影响的是启用了Smart Install功效的装备，在TCP端口4786上运行的Cisco专用协议，当4780端口开放于外网时，可造成更大的影响，AG公司科技建议通过如下计划举行排查：

3.1 AG公司科技互联网资产核查

为使企业客户相识重大重大的资产类型在互联网上的袒露情形，包括端口、应用、系统类型、地理漫衍等，预知可能保存的危害，并接纳相关的控制步伐，AG公司科技提供基于NTI的互联网资产核查服务，快速判断面向互联网的资产是否受到Cisco Smart Install误差以及其他可使用误差的影响，如需协助，可联系NTI@nsfocus.com。

3.2 排查Smart Install是否开启

端口扫描

检测目的装备是否开启4786/TCP端口，使用nmap扫描目的装备端口，若是开启则可能受到影响。

AG公司(中国集团)·有限公司官网

Cisco Smart Install清静检测工具

Cisco针对Smart Install功效提供优质清静实践建议，并提供了Smart Install功效的清静检查剧本，下载链接：https://github.com/Cisco-Talos/smi_check

检测要领如下：

# python smi_check.py -i 192.168.1.2

[INFO] Sending TCP probe to targetip:4786

[INFO] Smart Install Client feature active on targetip:4786

[INFO] targetip is affected

3.3 登录Cisco IOS装备自查

vstack设置信息判断

在装备的EXEC指令中输入show vstack config 可以盘问装备是否开启了Smart Install。若返回效果为Role: Client (SmartInstall enabled) 或者Oper Mode: Enabled则体现装备开启了Smart Install，装备保存危害。

AG公司(中国集团)·有限公司官网

Cisco IOS装备版本信息判断

治理员用户可以登录到装备后再CLI中输入show version来盘问装备版本，通过影响版本判断装备是否在影响规模内。

ios-xe-device# show version

Cisco IOS Software Catalyst L3 Switch Software (CAT3K_CAA-UNIVERSALK9-M) Version Denali 16.2.1 RELEASE SOFTWARE (fc1)

Technical Support: http://www.cisco.com/techsupport

Copyright (c) 1986-2016 by Cisco Systems Inc.

Compiled Sun 27-Mar-16 21:47 by mcpre

使用该版本信息，用户可以在Cisco官方确认是否受误差影，参考链接如下：

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2

会见上述链接，将版本号输入文本框后点击“Check”按钮，以16.2.1为例，如下图所示。

AG公司(中国集团)·有限公司官网

之后弹出的页面中会列出该版本可能保存的相关误差，若是看到保存如下图红框的所示的误差名称，说明该装备保存危害

AG公司(中国集团)·有限公司官网

除手动输入版本举行盘问外，Cisco官方也提供了show version信息直接盘问的方法，将show version下令执行后的版本信息生涯到a.txt文件中，会见Cisco官方的Cisco IOS Software Checker在线检测，参考链接如下：

https://tools.cisco.com/security/center/softwarechecker.x

将a.txt文件上传，举行在线检测。

AG公司(中国集团)·有限公司官网

详细的使用说明可参考如下视频教程：

https://players.brightcove.net/1384193102001/41XYD7gTx_default/index.html?directedMigration=true&videoId=5755100470001&

四. 解决建议

4.1 官方升级

Cisco官方已经宣布了更新补丁修复了上述误差，但未果真补丁的下载链接，用户可依附已经购置的Cisco license申请升级服务，请受影响的企业应实时与Cisco官方联系，获取最新的补丁程序升级举行防护。

AG公司(中国集团)·有限公司官网

4.2 暂时防护

请相关企业评估是否需要Smart Install服务，若是确定不需要，可依次输入如下下令可关闭服务：

switch#conf t

switch(config)#no vstack

switch(config)#do wr

switch(config)#exit

4.3 Smart Install功效官方清静建议

Cisco针对Smart Install功效提供了以下针对性的清静建议。

禁用Smart Install功效

通过show vstack下令审查Smart Install功效的状态，被禁用时的显示如下图所示：

AG公司(中国集团)·有限公司官网

当使用Smart Install功效且只用于零触摸安排时，清静建议如下.

安排完成后，使用no vstack下令禁用Smart Install功效；

关于不支持vstack下令的装备（低于Cisco IOS Release 12.2(55)SE02版本），在交流机上通过设置ACL阻断4786端口会见的方法举行防护。

当营业运行需要使用Smart Install功效时，清静建议如下：

设置ACL，限制白名单的装备可会见4786端口，参考如下：

ip access-list extended SMI_HARDENING_LIST

permit tcp host 10.10.10.1 host 10.10.10.200 eq 4786

deny tcp any any eq 4786

permit ip any any

详细信息可参考链接如下：

https://www.cisco.com/c/en/us/td/docs/switches/lan/smart_install/configuration/guide/smart_install/concepts.html#23355

五. 声明

本清静通告仅用来形貌可能保存的清静问题，AG公司科技不为此清静通告提供任何包管或允许。由于撒播、使用此清静通告所提供的信息而造成的任何直接或者间接的效果及损失，均由使用者自己认真，AG公司科技以及清静通告作者不为此肩负任何责任。

AG公司科技拥有对此清静通告的修改息争释权。如欲转载或撒播此清静通告，必需包管此清静通告的完整性，包括版权声明等所有内容。未经AG公司科技允许，不得恣意修改或者增减此清静通告内容，不得以任何方法将其用于商业目的。

<<上一篇

Struts框架S2-056误差预警

>>下一篇

Auth0平台身份验证绕过误差（CVE-2018-6873，CVE-2018-6874）

?

您的联系方法

购置热线

提交项目需求

接待加入AG公司科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方法

*姓名
*联系电话
*邮箱
*职务
*公司
*都会
*行业
*验证码
提交到邮箱

AG公司(中国集团)·有限公司官网

AG公司(中国集团)·有限公司官网

服务支持

智能客服

智能客服

购置/售后手艺问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

支持热线

400-818-6868

AG公司科技社区

AG公司科技社区

资料下载|在线问答|手艺交流

点击进入

信息清静

网站地图| 执法声明| 投资者关系

关于AG公司: 公司先容; 公司声誉; AG公司书橱; AG公司新闻; 事情时机

怎样购置: 提交项目需求; 请求回电; 购置热线

联系AG公司: 公司总部; 分支机构; 全球分支机构

清廉建设和举报: 举报说明; 举报奖励; 包管制度

快速链接: AG公司云; AG公司威胁情报中心NTI; TechWorld手艺嘉年华; 北京AG公司公益基金会; 手艺博客; 乐成案例

微博

微信

B站

抖音

视频号

视频号

视频号

服务热线

400-818-6868

服务时间

7*24小时

? 2026 NSFOCUS AG公司科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证110355号