思科三层交换机如何关闭端口(思科底层网络设备爆严重漏洞)
2018年3月28日,Cisco发布了一个远程代码执行严重漏洞通告通告了思科IOS和IOS-XE系统的配置管理类协议Cisco Smart Install(Cisco私有协议)代码中存在一处缓冲区栈溢出漏洞,漏洞编号为CVE-2018-0171攻击者无需用户验证即可向远端Cisco设备的 TCP 4786 端口发送精心构造的恶意数据包,触发漏洞造成设备远程执行Cisco系统命令或拒绝服务(DoS),下面我们就来说一说关于思科三层交换机如何关闭端口?我们一起去了解并探讨一下这个问题吧!
思科三层交换机如何关闭端口
2018年3月28日,Cisco发布了一个远程代码执行严重漏洞通告。通告了思科IOS和IOS-XE系统的配置管理类协议Cisco Smart Install(Cisco私有协议)代码中存在一处缓冲区栈溢出漏洞,漏洞编号为CVE-2018-0171。攻击者无需用户验证即可向远端Cisco设备的 TCP 4786 端口发送精心构造的恶意数据包,触发漏洞造成设备远程执行Cisco系统命令或拒绝服务(DoS)。
其中最严重的是编号CVE-2018-0171的堆叠式缓冲溢位漏洞,它位于IOS及IOS XE中的Smart Install功能中。Smart Install是方便新交换机部署的组态及镜像档管理功能,它可以自动化首次组态,加载现有作业系统镜像档到网络交换机中,加速新机部署的速度,此外也具备组态备份功能。本漏洞由安全公司Embedi发现并通报思科。
漏洞发生于Smart Install Client的代码中,使其未能对封包数据做必要验证。攻击者可以发送含有恶意代码的Smart Install信息给思科交换器上的TCP port 4786,在Smart Install Client启动下,引发SMI IBC Server对恶意信息处理,进而导致堆叠式缓冲溢位攻击。
漏洞相关的技术细节和验证程序已经公开,且互联网上受影响的主机数量非常大。由于此漏洞影响底层网络设备,且漏洞相关PoC已经公开并证实可用,极有可能构成巨大的现实威胁。
漏洞影响
确认受影响的型号:
Catalyst 4500 Supervisor Engines
Cisco Catalyst 3850 Series switches
Cisco Catalyst 2960 Series Switches
可能受影响的设备型号:
Catalyst 4500 Supervisor Engines
Catalyst 3850 Series
Catalyst 3750 Series
Catalyst 3650 Series
Catalyst 3560 Series
Catalyst 2960 Series
Catalyst 2975 Series
IE 2000
IE 3000
IE 3010
IE 4000
IE 4010
IE 5000
SM-ES2 SKUs
SM-ES3 SKUs
NME-16ES-1G-P
SM-X-ES3 SKUs
未开启Cisco Smart Install管理协议或模式为Director模式的Cisco设备均不受影响。
发现该漏洞的安全公司Embedi最初以为该漏洞只能在企业网络的内部被利用。但是它后来发现数百万受影响的设备暴露在互联网上。
Embedi写道:“由于在安全配置的网络中,Smart Install技术的参与者应该不可以通过互联网来访问。但是扫描互联网后表明,实际情况不是这样。”“我们对互联网进行短暂的扫描后发现了250000个易受攻击的设备和850万个易受攻击的端口敞开的设备。”多款思科路由器和交换机支持Smart Install。端口敞开的设备之所以数量众多,可能是由于在默认情况下,Smart Install客户端的端口TCP 4786是敞开的。
Embedi表示,许多网络管理员忽视了这种情况。该公司还发布了概念证明漏洞代码,所以管理员的当务之急可能是打上补丁。
处置方式
本地自查方法A:(需登录设备)
可以通过以下命令确认是否开启 Smart Install Client 功能:
●switch>show vstack config
●Role:Client (SmartInstall enabled)
●Vstack Director IP address: 0.0.0.0
●switch>show tcp brief all
●TCB Local Address Foreign Address (state)
●0344B794 *.4786 *.* LISTEN
●0350A018 *.443 *.* LISTEN
●03293634 *.443 *.* LISTEN
●03292D9C *.80 *.* LISTEN
●03292504*.80 *.* LISTEN
本地自查方法B:(需登录设备)
switch>show version
将回显内容保存在a.txt中,并上传至Cisco的Cisco IOS Software Checker进行检测。
检测地址:https://tools.cisco.com/security/center/softwarechecker.x
修复方法
升级补丁:
●思科官方已发布针对此漏洞的补丁但未提供下载链接,请联系思科获取补丁。
临时处置措施:(关闭协议):
●switch#conf t
●switch(config)#no vstack
●switch(config)#do wr
●switch(config)#exit
,免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com