昨天被思科漏洞刷屏,了解一下?

E安全4月9日讯 2018年3月末曝光的一个思科高危漏洞 CVE-2018-0171 在清明小长假期间被黑客利用发动攻击,国内多家机构中招,配置文件被清空,安全设备形同虚设。此漏洞影响底层网络设备,且漏洞 PoC 已公开,很有可能构成重大威胁。

CVE-2018-0171漏洞详情

思科3月28日发布安全公告指出,思科 IOS 和 IOS-XE 软件 Smart Install Client (开启了Cisco Smart Install管理协议,且模式为client模式)存在远程代码执行漏洞 CVE-2018-0171,CVSS 评分高达9.8分(总分10分)。攻击者可远程向 TCP 4786 端口发送恶意数据包,触发目标设备的栈溢出漏洞造成设备拒绝服务(DoS)或远程执行任意代码。

2018年3月29日,我国国家信息安全漏洞共享平台(简称 CNVD)收录了该漏洞,编号为 CNVD-2018-06774。 CNVD对该 漏洞的描述为:

Smart Install 作为一项即插即用配置和镜像管理功能,为新加入网络的交换机提供零配置部署,实现了自动化初始配置和操作系统镜像加载的过程,同时还提供配置文件的备份功能。Cisco Smart Install 存在远程命令执行漏洞,攻击者无需用户验证即可向远端Cisco 设备的 TCP 4786 端口发送精心构造的恶意数据包,触发漏洞让设备远程执行 Cisco 系统命令或拒绝服务(DoS)。

据 CNVD 发布的公告显示,全球 Cisco Smart Install系统规模为14.3万;按国家分布情况来看,用户量排名前三的分别是美国(29%)、中国(11%)和日本(6%)。

确认受影响的设备:

  • Catalyst 4500 Supervisor Engines;
    Cisco Catalyst 3850 Series Switches;
    Cisco Catalyst 2960 Series Switches。

以下包含 Smart Install Client 的设备可能受漏洞影响:

  • Catalyst 4500 Supervisor Engines;
    Catalyst 3850 Series;
    Catalyst 3750 Series;
    Catalyst 3650 Series;
    Catalyst 3560 Series;
    Catalyst 2960 Series;
    Catalyst 2975 Series;
  • IE 2000;
    IE 3000;
    IE 3010;
    IE 4000;
    IE 4010;
    IE 5000;
  • SM-ES2 SKUs;
    SM-ES3 SKUs;
    NME-16ES-1G-P;
    SM-X-ES3 SKUs。

全球20多万台路由器受到影响

最初,研究人员认为,该漏洞只能被同网络中的黑客利用。

2018年4月5日,思科 Talos 团队发博文称,发现黑客利用该漏洞攻击关键基础设施。该团队通过搜索引擎 Shodan 发现,约有250,000个易受攻击的思科设备打开了TCP端口4786,潜在暴露的系统约16.8万个。在思科发布漏洞预警时,其研究人员在第一时间识别出大约有850万台设备使用了此端口,但无法确定这些系统上是否存在 Smart Install 功能。

伊朗、俄罗斯率先遭到攻击

2018年4月6日,黑客组织“JHT”利用思科的 Smart Install 安全漏洞 CVE-2018-0171 率先攻击了俄罗斯和伊朗的计算机基础设施,影响了互联网服务提供商、数据中心以及若干网站。黑客利用该漏洞将路由器重置为默认配置,并向受害者显示信息。

攻击者利用该漏洞对思科服务器发起攻击。随后,路由器的配置文件“startup-config”被重写,路由器重启,进而导致网络中断。除此之外,管理员还发现了路由器的 startup-config 文件被篡改为警告消息:“不要干扰我们的选举…-JHT”。除了禁用设备及让设备瘫痪,该组织还留下了一张美国国旗的图片

Talos 团队认为,这起攻击与美国计算机应急响应小组2018年3月发布的警告(称俄罗斯政府瞄准能源和其它关键基础设施行业)有关。据推测,这正是该黑客组织为此做出的回应。攻击者表示,他们只是想传递信息专家推测,这次大范围的网络攻击很可能是由民间黑客组织发起,以此来表示对俄罗斯干涉美国大选的不满。

黑客组织“JHT”向媒体透露,他们扫描了许多国家易遭受攻击的系统,但只将目标对准俄罗斯和伊朗的路由器。该黑客组织还表示其通过发出“no vstack”命令修复了在美国和英国路由器上发现的 Smart Install 安全漏洞。

受到攻击的路由器的启动配置

中国受影响设备约1.4万台

据路透社报道,伊朗通信与信息技术部表示,全球有20多万台路由器受到影响:

  • 伊朗:3500台;
  • 美国:5.5万台;
  • 中国:1.4万台。

伊朗通信与信息技术部部长 Mohammad Javad Azari-Jahromi 在推特上表示,美国东部时间2018年4月6日下午1:12,伊朗95%受影响的路由器已恢复正常服务。伊朗IT部长穆罕默德•贾瓦德•阿扎里•贾赫罗米表示,攻击主要影响的是欧洲、印度和美国。

然而,2018年4月8日,中国多个机构也遭到了类似的攻击。

如何自查?

远程自查:

  • 方法一:确认目标设备是否开启4786/TCP端口,如果开启则表示可能受到影响。比如用nmap扫描目标设备端口:
    nmap -p T:4786 192.168.1.254
  • 方法:使用Cisco提供的脚本探测是否开放Cisco Smart Install协议,若开启则可能受到影响。
    # python smi_check.py -i 192.168.1.254
    [INFO] Sending TCP probe to targetip:4786
    [INFO] Smart Install Client feature active on targetip:4786
    [INFO] targetip is affected。

本地自查(需登录设备):

  • 方法三:可以通过以下命令确认是否开启 Smart Install Client 功能:
    switch>show vstack config
    Role: Client (SmartInstall enabled)
    Vstack Director IP address: 0.0.0.0
    switch>show tcp brief all
    TCB Local Address Foreign Address (state)
    0344B794 *.4786 *.* LISTEN
    0350A018 *.443 *.* LISTEN
    03293634 *.443 *.* LISTEN
    03292D9C *.80 *.* LISTEN
    03292504 *.80 *.* LISTEN
  • 方法四:switch>show version
    将回显内容保存在a.txt中,并上传至Cisco的Cisco IOS Software Checker进行检测。
    检测地址:https://tools.cisco.com/security/center/softwarechecker.x

临时处置措施(关闭协议)  

switch#conf t
switch(config)#no vstack
switch(config)#do wr
switch(config)#exit

检查端口已经关掉:

switch>show tcp brief all
TCB Local Address Foreign Address (state)
0350A018 *.443 *.* LISTEN
03293634 *.443 *.* LISTEN
03292D9C *.80 *.* LISTEN
03292504 *.80 *.* LISTEN

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。

相关推荐

抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址