思科设备Smart Install的远程代码执行漏洞紧急通知
【漏洞危害说明】
近日有大量思科交换机因漏洞被攻击,被攻击的设备出现配置被清空的情况。研究人员在 Smart InstallClient 代码中发现一个缓冲区堆栈溢出漏洞。攻击者利用这个漏洞可以不经身份验证远程执行任意代码。也就是说,攻击者能够完全控制受漏洞影响的网络设备。
【受影响设备型号】
该漏洞将影响所有支持SmartInstall Client 功能的设备,可以尝试执行以下命令,检测网络设备是否有SmartInstall Client 功能:
switch>show vstack config
Role:Client(SmartInstall enabled)
VstackDirectorIP address: 0.0.0.0
switch>show tcp brief all
TCBLocalAddress Foreign Address (state)
0344B794*.4786 *.* LISTEN
0350A018*.443 *.* LISTEN
03293634*.443*.* LISTEN
03292D9C*.80*.* LISTEN
03292504*.80*.* LISTEN
支持 Smart Install Client 的设备都受到漏洞影响,包括下列:
Catalyst4500 Supervisor Engines
Catalyst3850 Series
Catalyst3750 Series
Catalyst3650 Series
Catalyst3560 Series
Catalyst2960 Series
Catalyst2975 Series
IE2000
IE3000
IE3010
IE4000
IE4010
IE5000
SM-ES2SKUs
SM-ES3SKUs
NME-16ES-1G-P
SM-X-ES3SKUs
【漏洞修复方法】
升级补丁:联系思科获取最新补丁。
临时处置措施:(关闭协议)
switch#conf t
switch(config)#no vstack
switch#wr
【补丁程序说明】
漏洞发布后,济群IT服务|派克斯专网 后台技术团队日夜坚守岗位,并第一时间联系CISCO TAC团队。根据CISCO官方回复: 修复该漏洞方法为将设备OS升级至修复版本。
已知修复版本OS
已知修复版本如下,可下载对应版本OS修复漏洞:
15.2(6)E1
15.2(2)E8
16.3(5.72)
15.7(3)M2
15.7(3.1.14A)OT
15.7(3.1.10V)OT
15.7(3.0z)M
15.7(2.0v)M0.6
15.6(3)M4
15.6(3)M3.1
15.5(3)M7
15.5(3)M6.1
15.5(1)SY1
15.5(1)IC1.112
15.5(1)IA1.529
15.5(1.0.93)SY1
15.5(1.0.91)SY1
15.4(3)M9
15.4(1)SY4
15.4(1.1.21)SY4
15.2(6.5.1i)E1
15.2(6.4.66i)E1
15.2(6.4.4i)E1
15.2(4.7.8)EA7
15.2(1)SY6
15.2(1)SY5.114
15.1(2)SY11.62
12.2(60)EZ13
我们会持续更新
漏洞修复步骤
1、下载对应版本OS到本地;
2、保存设备配置文件;
3、通过U盘或TFTP将OS上传至对应设备;
4、升级OS;
5、重启并查看配置以及设备版本信息。
【友情提醒】修复漏洞需重启设备,建议在非工作时间操作!
官方链接:
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvg76186
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2