思科设备Smart Install的远程代码执行漏洞紧急通知

【漏洞危害说明】

       近日有大量思科交换机因漏洞被攻击，被攻击的设备出现配置被清空的情况。研究人员在 Smart InstallClient 代码中发现一个缓冲区堆栈溢出漏洞。攻击者利用这个漏洞可以不经身份验证远程执行任意代码。也就是说，攻击者能够完全控制受漏洞影响的网络设备。

【受影响设备型号】

该漏洞将影响所有支持SmartInstall Client 功能的设备，可以尝试执行以下命令，检测网络设备是否有SmartInstall Client 功能：

   switch>show vstack config

   Role:Client(SmartInstall enabled)

   VstackDirectorIP address: 0.0.0.0

  switch>show tcp brief all

   TCBLocalAddress Foreign Address (state)

   0344B794*.4786 *.* LISTEN

   0350A018*.443 *.* LISTEN

   03293634*.443*.* LISTEN

   03292D9C*.80*.* LISTEN

   03292504*.80*.* LISTEN

  支持 Smart Install Client 的设备都受到漏洞影响，包括下列：

   Catalyst4500 Supervisor Engines

   Catalyst3850 Series

   Catalyst3750 Series

   Catalyst3650 Series

   Catalyst3560 Series

   Catalyst2960 Series

   Catalyst2975 Series

   IE2000

   IE3000

   IE3010

   IE4000

   IE4010

   IE5000

   SM-ES2SKUs

   SM-ES3SKUs

   NME-16ES-1G-P

   SM-X-ES3SKUs

【漏洞修复方法】

升级补丁：联系思科获取最新补丁。

临时处置措施：(关闭协议)

switch#conf t

switch(config)#no vstack

switch#wr

【补丁程序说明】

漏洞发布后，济群IT服务|派克斯专网 后台技术团队日夜坚守岗位，并第一时间联系CISCO TAC团队。根据CISCO官方回复： 修复该漏洞方法为将设备OS升级至修复版本。

已知修复版本OS

已知修复版本如下，可下载对应版本OS修复漏洞：

15.2(6)E1

15.2(2)E8

16.3(5.72)

15.7(3)M2

15.7(3.1.14A)OT

15.7(3.1.10V)OT

15.7(3.0z)M

15.7(2.0v)M0.6

15.6(3)M4

15.6(3)M3.1

15.5(3)M7

15.5(3)M6.1

15.5(1)SY1

15.5(1)IC1.112

15.5(1)IA1.529

15.5(1.0.93)SY1

15.5(1.0.91)SY1

15.4(3)M9

15.4(1)SY4

15.4(1.1.21)SY4

15.2(6.5.1i)E1

15.2(6.4.66i)E1

15.2(6.4.4i)E1

15.2(4.7.8)EA7

15.2(1)SY6

15.2(1)SY5.114

15.1(2)SY11.62

12.2(60)EZ13

  我们会持续更新

漏洞修复步骤

1、下载对应版本OS到本地；
2、保存设备配置文件；
3、通过U盘或TFTP将OS上传至对应设备；
4、升级OS；
5、重启并查看配置以及设备版本信息。

【友情提醒】修复漏洞需重启设备，建议在非工作时间操作!

官方链接：

https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvg76186

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2