Cisco CVE-2018-0171 远程执行代码漏洞

介绍

Smart Install Client 代码中发现基于堆栈的缓冲区溢出漏洞 。此漏洞使攻击者无需身份验证即可远程执行任意代码。因此它可以完全控制易受攻击的网络设备。

Smart Install 是即插即用的配置和图像管理功能，为新型交换机提供零接触部署。它使初始配置过程自动化，并为当前操作系统镜像加载新的网络交换机。这意味着您可以将交换机运送到某个位置，将其置于网络中，并在没有管理员的情况下在设备上进行配置而无需进行配置。该技术还可在配置发生变化并热插拔损坏的设备时提供备份。

使用的网络 Smart Install 包括一组称为的网络设备，这些网络设备 clients由Layer 3作为导向器的公共 交换机或路由器提供服务。

在 director 提供了用于图像和客户端交换机的配置的单个管理点。客户端交换机与主管有直接或间接的连接，以便他们可以从中接收映像和配置下载。

有关该Smart Install 技术的更多信息 可在官方文档中找到 。

该漏洞位于代码中 Smart Install Client。

需要注意的是，该技术要求默认情况下在客户端上启用该技术。这个事实影响了这个漏洞的覆盖范围和影响，但更多的则在下面。

漏洞描述

该 SMI IBC Server Process 过程包含一个 Smart Install Client 实现代码。在 Smart Install Client开始的一个服务器 TCP(4786) 端口（默认开启）与互动 Smart Install Director。

当此服务器正在处理特制恶意消息 ibd_init_discovery_msg 时，会发生基于堆栈的缓冲区溢出。

更确切地说，缓冲区溢出发生在函数中 smi_ibc_handle_ibd_init_discovery_msg

因为未检查复制到固定大小缓冲区的数据大小。大小和数据直接来自网络数据包，并受攻击者控制。

如何检查设备是否存在漏洞

如果您的思科网络设备具有开放 TCP 4786 端口，则易受攻击。为了找到这样的设备，只需扫描您的网络。

nmap -p T：4786 192.168.1.0/24- p T ：4786 192.168 。1.0 / 24 

要检查网络设备是否属于某种 Smart Install Client 类型，请输入以下命令：

switch>show vstack config>show vstack config
 Role: Client (SmartInstall enabled)Role: Client (SmartInstall enabled)
 Vstack Director IP address: 0.0.0.0Vstack Director IP address: 0.0.0.0

switch>show tcp brief allswitch>show tcp brief all
TCB       Local Address           Foreign Address        (state)Local Address           Foreign Address        (state)
0344B794  *.4786                  *.*                    LISTEN0344B794  *.4786                  *.*                    LISTEN
0350A018  *.443                   *.*                    LISTEN0350A018  *.443                   *.*                    LISTEN
03293634  *.443                   *.*                    LISTEN03293634  *.443                   *.*                    LISTEN
03292D9C  *.80                    *.*                    LISTEN03292D9C  *.80                    *.*                    LISTEN
03292504  *.80                    *.*                    LISTEN03292504  *.80                    *.*                    LISTEN

Internet扫描结果

在发现漏洞后，我们认定它只能用于企业网络内的攻击。因为在安全配置的网络中， Smart Install 技术参与者不应该通过Internet访问。

但是扫描互联网已经表明这不是事实。

在对互联网进行短暂扫描期间，我们检测到250,000个易受攻击的设备和8,500,000个具有易受攻击端口的设备。

可能发生这种情况的原因是， Smart Install 客户端端口 TCP(4786) 默认打开，网络管理员不会注意到这一点。

受影响的硬件/软件

该漏洞被检查了以下设备： Catalyst 4500 Supervisor Engines， Cisco Catalyst 3850 Series Switches，和 Cisco Catalyst 2960 Series Switches。

*　Cisco Catalyst 4500 Supervisor引擎6L-E

*　Cisco IOS 15.2.2E6（最新，建议）
cat4500e-entservicesk9-mz.152-2.E6.bin （23-DEC-2016）

*　Cisco Catalyst 2960-48TT-L交换机

*　Cisco IOS 12.2（55）SE11（建议）
c2960-lanbasek9-mz.122-55.SE11.bin （18-AUG-2016）

*　Cisco IOS 15.0.2-SE10a（最新）
c2960-lanbasek9-mz.150-2.SE10a.bin （10-NOV-2016）

*　Cisco Catalyst 3850-24P-E交换机

*　Cisco IOS-XE 03.03.05.SE
cat3k_caa-universalk9.SPA.03.03.05.SE.150-1.EZ5.bin （03-NOV-2014）

而且，所有可能属于智能安装客户端类型的设备都可能受到攻击。这里是他们的列表：

Catalyst 4500 Supervisor引擎
Catalyst 3850系列
Catalyst 3750系列
Catalyst 3650系列
Catalyst 3560系列
Catalyst 2960系列
Catalyst 2975系列
IE 2000
IE 3000
IE 3010
IE 4000
IE 4010
IE 5000
SM-ES2 SKU
SM-ES3 SKU
NME-16ES-1G-P
SM-X-ES3 SKU