思科底层网络设备爆严重漏洞 互联网上或再掀血雨腥风

2018年3月28日，Cisco发布了一个远程代码执行严重漏洞通告。通告了思科IOS和IOS-XE系统的配置管理类协议Cisco Smart Install（Cisco私有协议）代码中存在一处缓冲区栈溢出漏洞，漏洞编号为CVE-2018-0171。攻击者无需用户验证即可向远端Cisco设备的 TCP 4786 埠发送精心构造的恶意数据包，触发漏洞造成设备远程执行Cisco系统命令或拒绝服务（DoS）。

漏洞相关的技术细节和验证程序已经公开，且互联网上受影响的主机数量非常大。由于此漏洞影响底层网络设备，且漏洞相关PoC已经公开并证实可用，极有可能构成巨大的现实威胁。故360威胁情报中心发布此通告提醒用户和企业采取必要防御应对措施。

漏洞概要

漏洞描述

该漏洞存在于思科IOS和IOS-XE系统的配置管理类协议Cisco Smart Install一处缓冲区栈内。攻击者无需认证，远程向开启TCP 4786 且为client模式的Cisco设备埠发送精心构造的畸形数据包，会导致smi_ibc_handle_ibd_init_discovery_msg函数在处理该数据包时触发缓冲区栈溢出造成设备拒绝服务（DoS）或远程执行Cisco系统命令。

影响面评估

360威胁情报中心已经确认公开的PoC利用代码有效，且该漏洞整体影响面非常大，综合分析威胁等级为高。

处置建议

远程自查方法A：

确认目标设备是否开启4786/TCP埠，如果开启则表示可能受到影响。

比如用nmap扫描目标设备埠：

nmap -p T:4786 192.168.1.254

远程自查方法B：

使用Cisco提供的脚本探测是否开放Cisco Smart Install协议，若开启则可能受到影响。

#pythonsmi_check.py -i 192.168.1.254

[INFO] Sending TCP probe to targetip:4786

[INFO] Smart Install Client feature active on targetip:4786

[INFO]targetip is affected。

本地自查方法A：（需登录设备）

此外，可以通过以下命令确认是否开启 Smart Install Client 功能：

switch>show vstack config

Role:Client (SmartInstall enabled)

Vstack Director IP address: 0.0.0.0

switch>show tcp brief all

TCB Local Address Foreign Address (state)

0344B794 *.4786 *.* LISTEN

0350A018 *.443 *.* LISTEN

03292D9C *.80 *.* LISTEN

本地自查方法B：（需登录设备）

switch>show version

将回显内容保存在a.txt中，并上传至Cisco的Cisco IOS Software Checker进行检测。

检测地址：https://tools.cisco.com/security/center/softwarechecker.x

修复方法

升级补丁：