4月9日讯 2018年3月末曝光的一个思科高危漏洞CVE-2018-0171在清明小长假期间被黑客利用发动攻击,国内多家机构中招,配置文件被清空,安全设备形同虚设。此漏洞影响底层网络设备,且漏洞 PoC 已公开,很有可能构成重大威胁。
CVE-2018-0171漏洞详情
思科3月28日发布安全公告指出,思科 IOS 和 IOS-XE 软件 Smart Install Client (开启了Cisco Smart Install管理协议,且模式为client模式)存在远程代码执行漏洞CVE-2018-0171,CVSS 评分高达9.8分(总分10分)。攻击者可远程向TCP 4786端口发送恶意数据包,触发目标设备的栈溢出漏洞造成设备拒绝服务(DoS)或远程执行任意代码。
2018年3月29日,我国国家信息安全漏洞共享平台(简称 CNVD)收录了该漏洞,编号为CNVD-2018-06774。 CNVD对该 漏洞的描述为:
Smart Install 作为一项即插即用配置和镜像管理功能,为新加入网络的交换机提供零配置部署,实现了自动化初始配置和操作系统镜像加载的过程,同时还提供配置文件的备份功能。Cisco Smart Install 存在远程命令执行漏洞,攻击者无需用户验证即可向远端Cisco 设备的 TCP 4786 端口发送精心构造的恶意数据包,触发漏洞让设备远程执行 Cisco 系统命令或拒绝服务(DoS)。
据 CNVD 发布的公告显示,全球 Cisco Smart Install系统规模为14.3万;按国家分布情况来看,用户量排名前三的分别是美国(29%)、中国(11%)和日本(6%)。
确认受影响的设备:
Catalyst 4500 Supervisor Engines;Cisco Catalyst 3850 Series Switches;Cisco Catalyst 2960 Series Switches。
以下包含 Smart Install Client 的设备可能受漏洞影响:
Catalyst 4500 Supervisor Engines;Catalyst 3850 Series;Catalyst 3750 Series;Catalyst 3650 Series;Catalyst 3560 Series;Catalyst 2960 Series;Catalyst 2975 Series;
IE 2000;IE 3000;IE 3010;IE 4000;IE 4010;IE 5000;
SM-ES2 SKUs;SM-ES3 SKUs;NME-16ES-1G-P;SM-X-ES3 SKUs。
全球20多万台路由器受到影响
最初,研究人员认为,该漏洞只能被同网络中的黑客利用。
2018年4月5日,思科 Talos 团队发博文称,发现黑客利用该漏洞攻击关键基础设施。该团队通过搜索引擎 Shodan 发现,约有250,000个易受攻击的思科设备打开了TCP端口4786,潜在暴露的系统约16.8万个。在思科发布漏洞预警时,其研究人员在第一时间识别出大约有850万台设备使用了此端口,但无法确定这些系统上是否存在 Smart Install 功能。
伊朗、俄罗斯率先遭到攻击
2018年4月6日,黑客组织“JHT”利用思科的 Smart Install 安全漏洞 CVE-2018-0171 率先攻击了俄罗斯和伊朗的计算机基础设施,影响了互联网服务提供商、数据中心以及若干网站。黑客利用该漏洞将路由器重置为默认配置,并向受害者显示信息。
攻击者利用该漏洞对思科服务器发起攻击。随后,路由器的配置文件“startup-config”被重写,路由器重启,进而导致网络中断。除此之外,管理员还发现了路由器的 startup-config 文件被篡改为警告消息:“不要干扰我们的选举…-JHT”。除了禁用设备及让设备瘫痪,该组织还留下了一张美国国旗的图片。
Talos 团队认为,这起攻击与美国计算机应急响应小组2018年3月发布的警告(称俄罗斯政府瞄准能源和其它关键基础设施行业)有关。据推测,这正是该黑客组织为此做出的回应。攻击者表示,他们只是想传递信息。专家推测,这次大范围的网络攻击很可能是由民间黑客组织发起,以此来表示对俄罗斯干涉美国大选的不满。
黑客组织“JHT”向媒体透露,他们扫描了许多国家易遭受攻击的系统,但只将目标对准俄罗斯和伊朗的路由器。该黑客组织还表示其通过发出“no vstack”命令修复了在美国和英国路由器上发现的 Smart Install 安全漏洞。
受到攻击的路由器的启动配置
中国受影响设备约1.4万台
据路透社报道,伊朗通信与信息技术部表示,全球有20多万台路由器受到影响:
伊朗:3500台;
美国:5.5万台;
中国:1.4万台。
伊朗通信与信息技术部部长 Mohammad Javad Azari-Jahromi 在推特上表示,美国东部时间2018年4月6日下午1:12,伊朗95%受影响的路由器已恢复正常服务。伊朗IT部长穆罕默德•贾瓦德•阿扎里•贾赫罗米表示,攻击主要影响的是欧洲、印度和美国。
然而,2018年4月8日,中国多个机构也遭到了类似的攻击。
如何自查?
远程自查:
方法一:确认目标设备是否开启4786/TCP端口,如果开启则表示可能受到影响。比如用nmap扫描目标设备端口:nmap -p T:4786 192.168.1.254
方法二:使用Cisco提供的脚本探测是否开放Cisco Smart Install协议,若开启则可能受到影响。# python smi_check.py -i 192.168.1.254[INFO] Sending TCP probe to targetip:4786[INFO] Smart Install Client feature active on targetip:4786[INFO] targetip is affected。
本地自查(需登录设备):
方法三:可以通过以下命令确认是否开启 Smart Install Client 功能:switch>show vstack configRole: Client (SmartInstall enabled)Vstack Director IP address: 0.0.0.0switch>show tcp brief allTCB Local Address Foreign Address (state)0344B794 *.4786 *.* LISTEN0350A018 *.443 *.* LISTEN03293634 *.443 *.* LISTEN03292D9C *.80 *.* LISTEN03292504 *.80 *.* LISTEN
方法四:switch>show version将回显内容保存在a.txt中,并上传至Cisco的Cisco IOS Software Checker进行检测。检测地址:https://tools.cisco.com/security/center/softwarechecker.x
临时处置措施(关闭协议)
switch#conf tswitch(config)#no vstackswitch(config)#do wrswitch(config)#exit
检查端口已经关掉:
switch>show tcp brief allTCB Local Address Foreign Address (state)0350A018 *.443 *.* LISTEN03293634 *.443 *.* LISTEN03292D9C *.80 *.* LISTEN03292504 *.80 *.* LISTEN
-
思科
+关注
关注
0文章
298浏览量
32171 -
漏洞
+关注
关注
0文章
203浏览量
15354
原文标题:昨天被思科漏洞刷屏,了解一下?
文章出处:【微信号:EAQapp,微信公众号:E安全】欢迎添加关注!文章转载请注明出处。
发布评论请先 登录
相关推荐
评论