AG公司

AG公司

AG公司科技

  • 基础设施清静

    基础设施清静

  • 数据清静

    数据清静

  • 云盘算清静

    云盘算清静

  • AI清静

    AI清静

  • 工业互联网清静

    工业互联网清静

  • 物联网清静

    物联网清静

  • 信息手艺应用立异

    信息手艺应用立异

  • 所有产品

    所有产品

  • 所有解决计划

    所有解决计划

基础设施清静

  • 政府

    政府

  • 运营商

    运营商

  • 金融

    金融

  • 能源

    能源

  • 交通

    交通

  • 企业

    企业

  • 科教文卫

    科教文卫

  • AG公司云 AG公司云
  • AG公司威胁情报中心NTI AG公司威胁情报中心NTI
  • TechWorld手艺嘉年华 TechWorld手艺嘉年华
  • 北京AG公司公益基金会 北京AG公司公益基金会
  • 手艺博客 手艺博客
  • 乐成案例 乐成案例

相助同伴审查更多 >

相助同伴动态

成为相助同伴

  • AG公司云 AG公司云
  • AG公司威胁情报中心NTI AG公司威胁情报中心NTI
  • TechWorld手艺嘉年华 TechWorld手艺嘉年华
  • 北京AG公司公益基金会 北京AG公司公益基金会
  • 手艺博客 手艺博客
  • 乐成案例 乐成案例

手艺支持审查更多 >

产品支持

  • AG公司云 AG公司云
  • AG公司威胁情报中心NTI AG公司威胁情报中心NTI
  • TechWorld手艺嘉年华 TechWorld手艺嘉年华
  • 北京AG公司公益基金会 北京AG公司公益基金会
  • 手艺博客 手艺博客
  • 乐成案例 乐成案例

返回列表

Cisco IOS/IOS XE远程代码执行误差(CVE-2018-0171)

2018-04-10

宣布者:AG公司科技

一.      误差概述


2018年3月28日 ,Cisco IOS以及IOS XE软件被发明保存一个严重误差CVE-2018-0171 。攻击者可以在未授权的情形下通过重新加载(reload)装备造成拒绝服务条件 ,或者远程执行代码 。Smart Install是为新的LAN以太网交流机提供零触摸安排的即插即用设置和图形治理功效 ,在TCP端口4786上运行的Cisco专用协议 ,若装备启用了Smart Install功效且对外开放4786端口 ,攻击者就可通过发送畸形Smart Install报文来使用此误差 ,使得装备缓冲区溢出 ,导致拒绝服务以致远程代码执行等效果 。

相关链接:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2

4月8日 ,攻击者疑似使用了思科IOS/IOS XE远程代码执行误差cve-2018-0171举行大规模攻击 ,其中包括海内多个机构 ,遭受攻击的企业会导致装备瘫痪 ,同时设置文件被修改 。


二.       误差影响


所爆出的误差影响所有运行Cisco IOS或IOS XE软件并且开启了智能装置(Smart Install)特征的装备 ,详情请参考Cisco官方通告:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2

现在已知受影响装备/软件为:

确认受影响的装备型号:

?  Catalyst 4500 Supervisor Engines

?  Cisco Catalyst 3850 Series Switches

?  Cisco Catalyst 2960 Series Switches

可能受影响的装备型号:

?  Catalyst 4500 Supervisor Engines

?  Catalyst 3850 Series

?  Catalyst 3750 Series

?  Catalyst 3650 Series

?  Catalyst 3560 Series

?  Catalyst 2960 Series

?  Catalyst 2975 Series

?  IE 2000

?  IE 3000

?  IE 3010

?  IE 4000

?  IE 4010

?  IE 5000

?  SM-ES2 SKUs

?  SM-ES3 SKUs

?  NME-16ES-1G-P

?  SM-X-ES3 SKUs


三.       影响排查


误差影响的是启用了Smart Install功效的装备 ,在TCP端口4786上运行的Cisco专用协议 ,当4780端口开放于外网时 ,可造成更大的影响 ,AG公司科技建议通过如下计划举行排查:


3.1         AG公司科技互联网资产核查

为使企业客户相识重大重大的资产类型在互联网上的袒露情形 ,包括端口、应用、系统类型、地理漫衍等 ,预知可能保存的危害 ,并接纳相关的控制步伐 ,AG公司科技提供基于NTI的互联网资产核查服务 ,快速判断面向互联网的资产是否受到Cisco Smart Install误差以及其他可使用误差的影响 ,如需协助 ,可联系NTI@nsfocus.com 。


3.2         排查Smart Install是否开启

  • 端口扫描

检测目的装备是否开启4786/TCP端口 ,使用nmap扫描目的装备端口 ,若是开启则可能受到影响 。

AG公司(中国集团)·有限公司官网


  • Cisco Smart Install清静检测工具

Cisco针对Smart Install功效提供优质清静实践建议 ,并提供了Smart Install功效的清静检查剧本 ,下载链接:https://github.com/Cisco-Talos/smi_check

检测要领如下:

# python smi_check.py -i 192.168.1.2

[INFO] Sending TCP probe to targetip:4786

[INFO] Smart Install Client feature active on targetip:4786

[INFO] targetip is affected


3.3         登录Cisco IOS装备自查

  • vstack设置信息判断

在装备的EXEC指令中输入show vstack config 可以盘问装备是否开启了Smart Install 。若返回效果为Role: Client (SmartInstall enabled) 或者Oper Mode: Enabled则体现装备开启了Smart Install ,装备保存危害 。


AG公司(中国集团)·有限公司官网



  • Cisco IOS装备版本信息判断

治理员用户可以登录到装备后再CLI中输入show version来盘问装备版本 ,通过影响版本判断装备是否在影响规模内 。

ios-xe-device# show version


Cisco IOS Software Catalyst L3 Switch Software (CAT3K_CAA-UNIVERSALK9-M) Version Denali 16.2.1 RELEASE SOFTWARE (fc1)

Technical Support: http://www.cisco.com/techsupport

Copyright (c) 1986-2016 by Cisco Systems Inc.

Compiled Sun 27-Mar-16 21:47 by mcpre

使用该版本信息 ,用户可以在Cisco官方确认是否受误差影 ,参考链接如下:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2

会见上述链接 ,将版本号输入文本框后点击“Check”按钮 ,以16.2.1为例 ,如下图所示 。


AG公司(中国集团)·有限公司官网


之后弹出的页面中会列出该版本可能保存的相关误差 ,若是看到保存如下图红框的所示的误差名称 ,说明该装备保存危害


AG公司(中国集团)·有限公司官网


除手动输入版本举行盘问外 ,Cisco官方也提供了show version信息直接盘问的方法 ,将show version下令执行后的版本信息生涯到a.txt文件中 ,会见Cisco官方的Cisco IOS Software Checker在线检测 ,参考链接如下:

https://tools.cisco.com/security/center/softwarechecker.x

将a.txt文件上传 ,举行在线检测 。


AG公司(中国集团)·有限公司官网


详细的使用说明可参考如下视频教程:

https://players.brightcove.net/1384193102001/41XYD7gTx_default/index.html?directedMigration=true&videoId=5755100470001&


四.       解决建议


4.1         官方升级

Cisco官方已经宣布了更新补丁修复了上述误差 ,但未果真补丁的下载链接 ,用户可依附已经购置的Cisco license申请升级服务 ,请受影响的企业应实时与Cisco官方联系 ,获取最新的补丁程序升级举行防护 。


AG公司(中国集团)·有限公司官网


4.2         暂时防护

请相关企业评估是否需要Smart Install服务 ,若是确定不需要 ,可依次输入如下下令可关闭服务:


switch#conf t

switch(config)#no vstack 

switch(config)#do wr

switch(config)#exit


4.3         Smart Install功效官方清静建议

Cisco针对Smart Install功效提供了以下针对性的清静建议 。

  • 禁用Smart Install功效

通过show vstack下令审查Smart Install功效的状态 ,被禁用时的显示如下图所示:


AG公司(中国集团)·有限公司官网


  • 当使用Smart Install功效且只用于零触摸安排时 ,清静建议如下.

 安排完成后 ,使用no vstack下令禁用Smart Install功效;

关于不支持vstack下令的装备(低于Cisco IOS Release 12.2(55)SE02版本) ,在交流机上通过设置ACL阻断4786端口会见的方法举行防护 。

  • 当营业运行需要使用Smart Install功效时 ,清静建议如下:

设置ACL ,限制白名单的装备可会见4786端口 ,参考如下:

ip access-list extended SMI_HARDENING_LIST

permit tcp host 10.10.10.1 host 10.10.10.200 eq 4786

deny tcp any any eq 4786

permit ip any any

详细信息可参考链接如下:

https://www.cisco.com/c/en/us/td/docs/switches/lan/smart_install/configuration/guide/smart_install/concepts.html#23355


五.       声 明


本清静通告仅用来形貌可能保存的清静问题 ,AG公司科技不为此清静通告提供任何包管或允许 。由于撒播、使用此清静通告所提供的信息而造成的任何直接或者间接的效果及损失 ,均由使用者自己认真 ,AG公司科技以及清静通告作者不为此肩负任何责任 。

AG公司科技拥有对此清静通告的修改息争释权 。如欲转载或撒播此清静通告 ,必需包管此清静通告的完整性 ,包括版权声明等所有内容 。未经AG公司科技允许 ,不得恣意修改或者增减此清静通告内容 ,不得以任何方法将其用于商业目的 。




?

您的联系方法

*姓名
*单位名称
*联系方法
*验证码 AG公司(中国集团)·有限公司官网
提交到邮箱

购置热线

  • 购置咨询:

    400-818-6868-1

提交项目需求

接待加入AG公司科技 ,成为我们的相助同伴!
  • *请形貌您的需求
  • *最终客户名称
  • *项目名称
  • 您感兴趣的产品
  • 项目预算
您的联系方法
  • *姓名
  • *联系电话
  • *邮箱
  • *职务
  • *公司
  • *都会
  • *行业
  • *验证码 AG公司(中国集团)·有限公司官网
  • 提交到邮箱
AG公司(中国集团)·有限公司官网
AG公司(中国集团)·有限公司官网

服务支持

智能客服
智能客服
购置/售后手艺问题
盟管家-售后服务系统
盟管家-售后服务系统
在线提单|智能问答|知识库
支持热线
支持热线
400-818-6868
AG公司科技社区
AG公司科技社区
资料下载|在线问答|手艺交流
微博
微博

微博

微信
微信

微信

B站
B站

B站

抖音
抖音

抖音

视频号
视频号

视频号

服务热线

400-818-6868

服务时间

7*24小时

? 2026 NSFOCUS AG公司科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号 京ICP备14004349号 京ICP证110355号

网站地图