0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

思科漏洞:CVE-2018-0171漏洞详情

pIuy_EAQapp 来源:未知 作者:李倩 2018-04-10 10:11 次阅读

4月9日讯 2018年3月末曝光的一个思科高危漏洞CVE-2018-0171在清明小长假期间被黑客利用发动攻击,国内多家机构中招,配置文件被清空,安全设备形同虚设。此漏洞影响底层网络设备,且漏洞 PoC 已公开,很有可能构成重大威胁。

CVE-2018-0171漏洞详情

思科3月28日发布安全公告指出,思科 IOS 和 IOS-XE 软件 Smart Install Client (开启了Cisco Smart Install管理协议,且模式为client模式)存在远程代码执行漏洞CVE-2018-0171,CVSS 评分高达9.8分(总分10分)。攻击者可远程向TCP 4786端口发送恶意数据包,触发目标设备的栈溢出漏洞造成设备拒绝服务(DoS)或远程执行任意代码。

2018年3月29日,我国国家信息安全漏洞共享平台(简称 CNVD)收录了该漏洞,编号为CNVD-2018-06774。 CNVD对该 漏洞的描述为:

Smart Install 作为一项即插即用配置和镜像管理功能,为新加入网络的交换机提供零配置部署,实现了自动化初始配置和操作系统镜像加载的过程,同时还提供配置文件的备份功能。Cisco Smart Install 存在远程命令执行漏洞,攻击者无需用户验证即可向远端Cisco 设备的 TCP 4786 端口发送精心构造的恶意数据包,触发漏洞让设备远程执行 Cisco 系统命令或拒绝服务(DoS)。

据 CNVD 发布的公告显示,全球 Cisco Smart Install系统规模为14.3万;按国家分布情况来看,用户量排名前三的分别是美国(29%)、中国(11%)和日本(6%)。

确认受影响的设备:

Catalyst 4500 Supervisor Engines;Cisco Catalyst 3850 Series Switches;Cisco Catalyst 2960 Series Switches。

以下包含 Smart Install Client 的设备可能受漏洞影响:

Catalyst 4500 Supervisor Engines;Catalyst 3850 Series;Catalyst 3750 Series;Catalyst 3650 Series;Catalyst 3560 Series;Catalyst 2960 Series;Catalyst 2975 Series;

IE 2000;IE 3000;IE 3010;IE 4000;IE 4010;IE 5000;

SM-ES2 SKUs;SM-ES3 SKUs;NME-16ES-1G-P;SM-X-ES3 SKUs。

全球20多万台路由器受到影响

最初,研究人员认为,该漏洞只能被同网络中的黑客利用。

2018年4月5日,思科 Talos 团队发博文称,发现黑客利用该漏洞攻击关键基础设施。该团队通过搜索引擎 Shodan 发现,约有250,000个易受攻击的思科设备打开了TCP端口4786,潜在暴露的系统约16.8万个。在思科发布漏洞预警时,其研究人员在第一时间识别出大约有850万台设备使用了此端口,但无法确定这些系统上是否存在 Smart Install 功能。

伊朗、俄罗斯率先遭到攻击

2018年4月6日,黑客组织“JHT”利用思科的 Smart Install 安全漏洞 CVE-2018-0171 率先攻击了俄罗斯和伊朗的计算机基础设施,影响了互联网服务提供商、数据中心以及若干网站。黑客利用该漏洞将路由器重置为默认配置,并向受害者显示信息。

攻击者利用该漏洞对思科服务器发起攻击。随后,路由器的配置文件“startup-config”被重写,路由器重启,进而导致网络中断。除此之外,管理员还发现了路由器的 startup-config 文件被篡改为警告消息:“不要干扰我们的选举…-JHT”。除了禁用设备及让设备瘫痪,该组织还留下了一张美国国旗的图片。

Talos 团队认为,这起攻击与美国计算机应急响应小组2018年3月发布的警告(称俄罗斯政府瞄准能源和其它关键基础设施行业)有关。据推测,这正是该黑客组织为此做出的回应。攻击者表示,他们只是想传递信息。专家推测,这次大范围的网络攻击很可能是由民间黑客组织发起,以此来表示对俄罗斯干涉美国大选的不满。

黑客组织“JHT”向媒体透露,他们扫描了许多国家易遭受攻击的系统,但只将目标对准俄罗斯和伊朗的路由器。该黑客组织还表示其通过发出“no vstack”命令修复了在美国和英国路由器上发现的 Smart Install 安全漏洞。

受到攻击的路由器的启动配置

中国受影响设备约1.4万台

据路透社报道,伊朗通信与信息技术部表示,全球有20多万台路由器受到影响:

伊朗:3500台;

美国:5.5万台;

中国:1.4万台。

伊朗通信与信息技术部部长 Mohammad Javad Azari-Jahromi 在推特上表示,美国东部时间2018年4月6日下午1:12,伊朗95%受影响的路由器已恢复正常服务。伊朗IT部长穆罕默德•贾瓦德•阿扎里•贾赫罗米表示,攻击主要影响的是欧洲、印度和美国。

然而,2018年4月8日,中国多个机构也遭到了类似的攻击。

如何自查?

远程自查:

方法一:确认目标设备是否开启4786/TCP端口,如果开启则表示可能受到影响。比如用nmap扫描目标设备端口:nmap -p T:4786 192.168.1.254

方法二:使用Cisco提供的脚本探测是否开放Cisco Smart Install协议,若开启则可能受到影响。# python smi_check.py -i 192.168.1.254[INFO] Sending TCP probe to targetip:4786[INFO] Smart Install Client feature active on targetip:4786[INFO] targetip is affected。

本地自查(需登录设备):

方法三:可以通过以下命令确认是否开启 Smart Install Client 功能:switch>show vstack configRole: Client (SmartInstall enabled)Vstack Director IP address: 0.0.0.0switch>show tcp brief allTCB Local Address Foreign Address (state)0344B794 *.4786 *.* LISTEN0350A018 *.443 *.* LISTEN03293634 *.443 *.* LISTEN03292D9C *.80 *.* LISTEN03292504 *.80 *.* LISTEN

方法四:switch>show version将回显内容保存在a.txt中,并上传至Cisco的Cisco IOS Software Checker进行检测。检测地址:https://tools.cisco.com/security/center/softwarechecker.x

临时处置措施(关闭协议)

switch#conf tswitch(config)#no vstackswitch(config)#do wrswitch(config)#exit

检查端口已经关掉:

switch>show tcp brief allTCB Local Address Foreign Address (state)0350A018 *.443 *.* LISTEN03293634 *.443 *.* LISTEN03292D9C *.80 *.* LISTEN03292504 *.80 *.* LISTEN

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 思科
    +关注

    关注

    0

    文章

    298

    浏览量

    32171
  • 漏洞
    +关注

    关注

    0

    文章

    203

    浏览量

    15354

原文标题:昨天被思科漏洞刷屏,了解一下?

文章出处:【微信号:EAQapp,微信公众号:E安全】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    影响 Linux 系统安全基石的 glibc 严重漏洞

    都在竞相给一个可以使系统暴露在远程代码执行风险中的核心 glibc 开放源码库的严重漏洞打补丁。这个 glibc 的漏洞编号被确定为 CVE-2015-7547,题为“getaddrinfo 基于堆栈
    发表于 06-25 10:01

    某安全浏览器竟然也被查出高危漏洞?开源安全问题不容忽视

    , apk, ipk, iso, bin, dll,dmg, pkg等多种二进制文件进行扫描,不仅能定位开源漏洞并提供CVE编号和修补方案,还能分析出所使用的开源组件清单,据说使用的是国际上律师事务所
    发表于 09-05 14:26

    开源鸿蒙 OpenHarmony 获得 CVE 通用漏洞披露编号颁发资质

    8月15日晚间,开源鸿蒙 OpenAtom OpenHarmony 官方宣布于 8 月 3 日获得通过 CNA(通用漏洞披露编号授权机构)加入程序,成为 CVE(通用漏洞披露组织)的编号授权机构
    发表于 08-17 11:34

    STM32Cube工具的log4j漏洞CVE-2021-44228和CVE-2021-45046有何影响?

    STM32Cube工具的log4j漏洞CVE-2021-44228和CVE-2021-45046有何影响?
    发表于 12-07 07:02

    用于缓解高速缓存推测漏洞的固件接口

    CVE-2017-5715,也称为Spectre Variant 2,是某些ARM CPU设计中的漏洞,允许攻击者控制受害者执行上下文中的推测执行流,并泄露攻击者在体系结构上无法访问的数据。 在
    发表于 08-25 07:36

    Spectre和Meltdown的利用漏洞的软件影响和缓解措施

    以下指南简要概述了称为Spectre和Meltdown的利用漏洞的软件影响和缓解措施,更准确地标识为: 变体1:边界检查绕过(CVE-2017-5753)变体2:分支目标
    发表于 08-25 08:01

    Exim最新漏洞影响全球过半邮件服务器

    E安全3月9日讯 中国台湾地区安全研究人员 Meh Chang 在开源邮件代理 Exim 中发现缓冲区溢出漏洞CVE-2018-678,该漏洞影响了全球过半的电邮服务器。Exim团队已发布补丁,但修复
    的头像 发表于 03-11 10:04 1.9w次阅读

    Oracle发布季度补丁更新 修复远程代码执行漏洞

    2018年7月18日,美国甲骨文(Oracle)公司官方发布了季度补丁更新,其中修复了一个 Oracle WebLogic Server 远程代码执行漏洞 CVE-2018-2893,此漏洞
    的头像 发表于 07-27 15:45 3112次阅读

    思科交换机软件关键漏洞让小型商业网络处于危险之中

    据外媒报道,思科小型商业交换机软件有一个关键漏洞CVE-2018-15439),攻击者可以未经身份验证远程控制设备。
    的头像 发表于 01-24 15:22 3276次阅读

    Linux系统与服务管理工具Systemd被曝存在3大漏洞

    3 个漏洞已经收录到 CVE,分别是内存损坏漏洞 CVE-2018-16864 与 CVE-2018-16865、信息泄露
    的头像 发表于 01-25 16:51 3417次阅读
    Linux系统与服务管理工具Systemd被曝存在3大<b class='flag-5'>漏洞</b>

    Vim、NeoVim 曝出高危漏洞

    漏洞编号 CVE-2019-12735,Vim 8.1.1365 和 Neovim 0.3.6 之前的版本都受到影响。
    的头像 发表于 08-09 17:39 3085次阅读

    黑客正在积极利用该操作系统中的一个漏洞,称为Zerologon

    为了解决此漏洞,Microsoft建议用户立即应用2020年8月的安全更新CVE-2020-1472。CVE前缀是英语中``常见漏洞和披露‘’的缩写。
    的头像 发表于 10-16 14:54 1779次阅读

    Adobe Acrobat和Reader软件出现漏洞,需升级!

    的,除了基本查阅PDF外,可进行高级编辑操作。 11月3日,Adobe为 Acrobat和Reader发布了紧急安全更新,这些更新解决了被评为危急和重要等任意代码执行漏洞 。以下是漏洞详情
    的头像 发表于 11-04 15:25 2032次阅读

    思科升级远程命令执行等高危漏洞

    1月19日,思科发布了安全公告,旗下小型企业RV110W,RV130,RV130W和RV215W路由器中发现了远程命令执行等高危漏洞,建议尽快升级。以下是漏洞详情
    的头像 发表于 01-20 15:40 1706次阅读

    IP知识百科之CVE

    CVE(Common Vulnerabilities and Exposures)的全称是公共漏洞和暴露,是公开披露的网络安全漏洞列表。IT人员、安全研究人员查阅CVE获取
    的头像 发表于 09-16 09:20 3360次阅读