聲明：該文章由作者（kstest）發(fā)表，轉(zhuǎn)載此文章須經(jīng)作者同意并請附上出處(0XUCN)及本頁鏈接。。

漏洞描述

思科IOS/IOS XE 中的智能安裝客戶端(Smart Install Client)代碼中被發(fā)現(xiàn)堆棧緩沖區(qū)溢出漏洞,編號為CVE-2018-0171。通過此漏洞可使攻擊者無需身份驗(yàn)證即可遠(yuǎn)程執(zhí)行任意代碼,可以實(shí)現(xiàn)對該設(shè)備的完全控制。

智能安裝IOS/IOS XE推出的即插即用的配置和鏡像管理功能,使用它的新一代思科網(wǎng)絡(luò)交換機(jī)可實(shí)現(xiàn)零接觸部署。可以實(shí)現(xiàn)設(shè)備配置的完全自動化,初始化配置并為其加載當(dāng)前操作系統(tǒng)(IOS/IOS XE)鏡像。該技術(shù)還可在配置發(fā)生變化或者熱插拔操作中出現(xiàn)異常時(shí)自動備份。

使用智能安裝的典型網(wǎng)拓?fù)淙缦?包括一組網(wǎng)絡(luò)設(shè)備端(客戶端),由一個(gè)通用的3層交換機(jī)或充當(dāng)控制器的路由器提供服務(wù)。

核心交換機(jī)(控制器)為客戶端交換機(jī)的鏡像和配置提供管理入口?？蛻舳私粨Q機(jī)與核心交換機(jī)直接相連或通過中繼交換機(jī)間接連接,以便可以從中接收鏡像和配置下載。

有關(guān)智能安裝技術(shù)的更多信息請查看思科官方文檔,在此不在贅述。

該漏洞存在于智能安裝客戶端的代碼中。需要注意的是,求默認(rèn)會在客戶端上啟用該技術(shù)。所以漏洞覆蓋范圍和影響面很廣。

漏洞描述

SMI IBC服務(wù)器進(jìn)程進(jìn)程中包括了智能安裝客戶端的啟動代碼。智能安裝客戶端默認(rèn)會監(jiān)聽TCP 4786端口,用于和控制器進(jìn)行交互。

當(dāng)服務(wù)器處理特制惡意信息包時(shí)候ibd_init_discovery_msg,就會會發(fā)生堆棧緩沖區(qū)溢出。緩沖區(qū)溢出發(fā)生于函數(shù)smi_ibc_handle_ibd_init_discovery_msg中,因?yàn)樵摵瘮?shù)未對進(jìn)入緩存去的數(shù)據(jù)大小做校驗(yàn),所以攻擊程序可以利用它對其請求(4786),請求包中網(wǎng)絡(luò)數(shù)據(jù)包植入惡意攻擊代碼,從而獲得對路由器的控制。

漏洞影響面

影響危害級別:嚴(yán)重

影響設(shè)備主要涉及:

Catalyst 4500 Supervisor Engines、 Cisco Catalyst 3850 Series Switches、Cisco Catalyst 2960 Series Switches

部分包含智能安裝客戶端的可能受到影響設(shè)備(具體咨詢代理商或者服務(wù)商):

Catalyst 4500 Supervisor Engines、Catalyst 3850 Series、Catalyst 3750 Series、Catalyst 3650 Series、Catalyst 3560 Series、Catalyst 2960 Series、Catalyst 2975 Series,IE 2000、3000、3010、4000、4010、5000、SM-ES2 SKUs、SM-ES3 SKUs、NME-16ES-1G-P、SM-X-ES3 SKUs等

漏洞檢測

檢測監(jiān)聽端口

確認(rèn)目標(biāo)設(shè)備是否開啟4786/TCP端口,可以用telnet遠(yuǎn)程測試4786端口是否開放,或者用nmap端口掃描工具也可:

telnet IP 4786

檢測智能安裝客戶端是否開啟

此外,可以通過以下管理員執(zhí)行命令"show vstack config"確認(rèn)是否開啟 Smart Install Client 功能:

switch1#?show?vstack?config
Role:?Client?(SmartInstall?enabled)
switch2#?show?vstack?config
Capability:?Client
Oper?Mode:?Enabled
Role:?Client

檢測Cisco IOS 發(fā)行版本識別

可以在用管理員命令show version來獲得相關(guān)版本信息來識別:

對Cisco IOS 發(fā)行版可以用過信息中的 C2951-UNIVERSALK9-M識別:

Router>?show?version
Cisco?IOS?Software,?C2951?Software?(C2951-UNIVERSALK9-M),?Version?15.5(2)T1,?RELEASE?SOFTWARE?(fc1)
Technical?Support:?http://www.cisco.com/techsupport
Copyright?(c)?1986-2015?by?Cisco?Systems,?Inc.
Compiled?Mon?22-Jun-15?09:32?by?prod_rel_team
對Cisco?IOS?XE發(fā)行版可以用過信息中的?CAT3K_CAA-UNIVERSALK9-M識別:
ios-xe-device#?show?version
Cisco?IOS?Software,?Catalyst?L3?Switch?Software?(CAT3K_CAA-UNIVERSALK9-M),?Version?Denali?16.2.1,?RELEASE?SOFTWARE?(fc1)
Technical?Support:?http://www.cisco.com/techsupport
Copyright?(c)?1986-2016?by?Cisco?Systems,?Inc.
Compiled?Sun?27-Mar-16?21:47?by?mcpre

漏洞利用POC

該漏洞已經(jīng)出現(xiàn)可利用的Poc,部分截圖如下:

結(jié)果:

修復(fù)和建議

立即對思科相關(guān)的路由器做端口檢測,確保4786端口沒有暴露在公網(wǎng)中。對發(fā)現(xiàn)的端口馬上做訪問限制,使得僅僅可信的內(nèi)網(wǎng)訪問。

聯(lián)系設(shè)備代理商或服務(wù)商對設(shè)備進(jìn)行升級。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/