安全公告/Safety Bulletin

首页 > 安全公告

主题

严重程度

公告日期

影响的产品

Cisco交换机设备Smart Install漏洞及解决方案
严重的
2018/05/14
Catalyst 2960-CX等

漏洞概述: 

mart Install漏洞概况
近日,国内诸多思科交换机设备用户曝光多个设备被黑客入侵的情况。被攻击的Cisco设备的配置文件 startup.config 会被覆盖为“Don't mess with our elections.... -JHTusafreedom_jht@tutanota.com”,并可导致Cisco设备重启
IE 5000
ME 3400E Series Ethernet Access
ME 3400 Series Ethernet Access
断网。
该漏洞是由于Cisco IOS Smart Install Client 在 TCP(4786) 端口与 Smart Install Director 进行通信时存在缓冲区溢出导致任意代码执行。
关于smart install漏洞的处理方法如下面邮件,如有用户需要可以提供给用户。
其中,可能受到影响的思科设备类型有:
Catalyst 2960
Catalyst 2960-C
Catalyst 2960-CX
Catalyst 2960-L
Catalyst 2960-P
Catalyst 2960-S
Catalyst 2960-SF
Catalyst 2960-X
Catalyst 2960-XR
Catalyst 2975
Catalyst 3560
Catalyst 3560-C
Catalyst 3560-CX
Catalyst 3560-E
Catalyst 3560-X
Catalyst 3650
Catalyst 3750
Catalyst 3750 Metro Series
Catalyst 3750-E
Catalyst 3750-X
Catalyst 3850
Catalyst 4500 Supervisor Engine, 6E, 6LE, 7E, 7LE, 8E, 8LE
Catalyst 6500 Supervisor Engine 2T-10GE
IE 2000
IE 3000
IE 3010
IE 4000
IE 4010
NME-16ES-1G-P
SM-ES2 SKUs
SM-ES3 SKUs
SM-X-ES3 SKUs
 不受影响系统及应用版本
1、手工关闭了Cisco Smart Install管理协议,或模式为Director模式的Cisco设备均不受影响。(注:所有相关产品在出厂时默认开启了该项功能)
2、具备以下软件版本的设备不在影响范围之内:
Catalyst 2960系列交换机:15.2(2)E8,15.2(4)E6,15.2(6)E1及后续发布的IOS版本
Catalyst 3560/3750系列交换机:15.2(4)E6及后续发布的IOS版本
Catalyst 3650/3850系列交换机:16.3.6,3.6.8E及后续发布的IOS-XE版本
Catalyst 4500系列交换机:3.6.8E及后续发布的IOS-XE版本
Catalyst65 Supervisor Engine 2T-10GE:15.2(1)SY6及后续发布的IOS版本
IE系列交换机:15.5(1)SY1及后续发布的IOS版本
ME系列交换机:12.2(60)EZ12及后续发布的IOS版本

解决方案:

对于可能存在“Cisco Smart Install远程命令执行”漏洞的设备,思科提供如下的检查方法,快速定位使用设备是否存在该项漏洞的可能性。
方法一:通过命令行命令确认Smart Install Client功能是否开启
在设备的命令行输入命令可以直接检查Smart Install Client功能是否开启,命令执行结果如下所示:
switch>show vstack config | inc Role
Role: Client (SmartInstall enabled)
 
方法二:通过命令行命令确认Smart Install Client所使用的TCP端口是否激活
对于部分软件版本过于陈旧的设备,命令行不支持“vstack”相关命令,但也可能存在该功能漏洞,可以通过直接检查TCP端口4786是否激活的方式,用于确认是否可能存在该漏洞,命令执行结果如下所示:
switch>show tcp brief all
TCB       Local Address            Foreign Address             (state)
05FD9F98  0.0.0.0.4786               *.*                         LISTEN
0568FFFC  0.0.0.0.443                *.*                         LISTEN
0568F038  0.0.0.0.443                *.*                         LISTEN
0568E428  0.0.0.0.80                 *.*                         LISTEN
0568D818  0.0.0.0.80                 *.*                         LISTEN
对于可能存在“Cisco Smart Install远程命令执行”漏洞的设备,思科提供如下的技术手段,规避该漏洞所带来的风险。
 方法一:将设备软件升级到最新软件版本
通过升级设备所使用的软件版本,可以修复设备的该漏洞,所需的软件版本,可在Cisco IOS Software Checker网站上进行查询,也可以联系思科代理商或是思科公司获取相关的软件。
 方法二:关闭“Smart Install Client”功能
可以采用手工关闭“Smart Install Client”的功能的方法,在线的规避风险,关闭该功能的命令及运行结果如下所示:
switch(config)#no vstack
switch#show vstack config | inc Role
Role: Client (SmartInstall disabled)