思科SMI的远程代码执行漏洞攻击成爆发趋势

2018-04-10 11:03:00
近日,腾讯御见威胁情报中心IOT蜜网系统监测到针对Cisco IOS与IOS XE Software Smart Install远程命令执行漏洞的攻击有爆发式增长,4月9号截止到上午10点40分,捕获到的攻击量是4月8号的两到三倍。

0x1 概述

近日,腾讯御见威胁情报中心IOT蜜网系统监测到针对Cisco IOSIOS XE Software Smart Install远程命令执行漏洞的攻击有爆发式增长,49号截止到上午1040分,捕获到的攻击量是48号的两到三倍。

Smart Install作为一项即插即用配置和镜像管理功能,为新加入网络的交换机提供零配置部署,实现了自动化初始配置和操作系统镜像加载的过程,同时还提供配置文件的备份功能。

 2018328日,Cisco发布了一个远程代码执行严重漏洞通告(CVE-2018-0171 )即Cisco Smart Install存在远程命令执行漏洞,攻击者无需用户验证即可向远端Cisco设备的TCP 4786端口发送精心构造的恶意数据包,触发漏洞造成设备远程执行Cisco系统命令或拒绝服务(DoS)。

(漏洞详情:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2)。

0x2 捕获的扫描攻击趋势情况


可以看出自47日后,针对4786端口的攻击明显上升。

攻击IP分布如下表:



0x3 影响

Ø  受影响设备型号(不限于):

Catalyst 4500 Supervisor Engines
Cisco Catalyst 3850 Series Switches
Cisco Catalyst 2960 Series Switches
Catalyst 4500 Supervisor Engines
Cisco Catalyst 3850 Series Switches
Cisco Catalyst 2960 Series Switches
Catalyst 4500 Supervisor Engines
Catalyst 3850 Series
Catalyst 3750 Series
Catalyst 3650 Series
Catalyst 3560 Series
Catalyst 2960 Series
Catalyst 2975 Series
IE 2000
IE 3000
IE 3010
IE 4000
IE 4010
IE 5000
SM-ES2 SKUs
SM-ES3 SKUs
NME-16ES-1G-P
SM-X-ES3 SKUs

Ø  受影响范围

根据shodan的数据,全球大概有20W的设备受威胁,其中美国占有5W台,中国占1.4W台,俄罗斯占1.3W台,以下是全球受影响设备分布情况:


0x4 解决方案

       检查是否开启4786端口,是否存在受影响的设备型号。若有,可通过思科官方补丁修复漏洞,并对该端口设置acl访问限制。详细请参考https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2

0x5 参考资料

http://www.cnvd.org.cn/flaw/show/CNVD-2018-06774

https://www.cisco.com/c/en/us/td/docs/switches/lan/smart_install/configuration/guide/smart_install/concepts.html

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2

https://www.shodan.io/search?query=port%3A%224786%22

最新资讯