你的Cisco路由器設備正在被攻擊!
一、背景
思科在2018年3月28日發布關於Cisco IOS和Cisco IOS XE系統的安全通告,介紹了相關的22個漏洞,其中有三個漏洞等級為嚴重,分別為CVE-2018-0150、CVE-2018-0151和CVE-2018-0171,其餘漏洞等級為高。2017年5月,Embedi安全公司研究員、俄羅斯白帽黑客George Nosenko在GeekPwn黑客大會上演示了一個思科交換機Smart Install的緩衝區堆棧溢出漏洞,即CVE-2018-0171,目前已公布PoC。
二、高危漏洞
CVE-2018-0150、CVE-2018-0151和CVE-2018-0171相關的成因、影響和應對方法。CVE-2018-0150漏洞描述:該漏洞允許未經身份驗證的遠程攻擊者使用默認賬密登陸受影響的Cisco IOS XE設備。漏洞成因:因系統內存在一個隱藏的特權級別為15的賬戶,導致攻擊者可能通過此賬戶默認賬密遠程登錄受影響的設備,實現對設備的完全控制。影響範圍:CiscoIOS XE 16.x應對方法:使用nousername cisco命令刪除默認帳戶,或者以管理員登陸設備更改默認密碼。
詳見 https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-xesc
CVE-2018-0151
漏洞描述:CiscoIOS和Cisco IOS XE的QoS子系統中的遠程代碼執行漏洞。
漏洞成因:因程序沒有正確的對數據包中的值執行邊界檢測,導致攻擊者可通過向UDP 18999埠發送精心構造的惡意數據包,最終在目標設備上實現拒絕服務或遠程代碼執行。
影響範圍:運行CiscoIOS和Cisco IOS XE軟體的設備。
確認是否受影響:以管理員身份登錄設備並在CLI中執行show udp命令
應對方法:
1、如不使用QoS系統的DMVPN功能,可關閉埠18999,或在CoPP控制面板添加如下策略拒絕來自UDP埠18999的流量。
2、如需使用QoS系統的DMVPN功能,則通過軟體更新進行漏洞修復。
詳見https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-qos#fixed
CVE-2018-0171
漏洞描述:CiscoIOS和Cisco IOS XE的Smart Install存在的遠程代碼執行漏洞,攻擊者無需用戶驗證即可向Cisco設備的TCP 4786埠發送精心構造的惡意數據包,觸發漏洞實現遠程代碼執行和拒絕服務。
漏洞成因:使用SmartInstall的網路包含一組被稱為Clients的網路設備,由一個通用的第三層交換機或路由器作為Director來提供服務。Smart Install Client默認在TCP(4786)埠上開啟了服務,由SMIIBC Server Process進程實現,用來與Smart Install Director交互。當SMI IBC Server處理惡意構造的ibd_init_discovery_msg時會導致緩衝區溢出,因為smi_ibc_handle_ibd_init_discovery_msg函數未檢查複製到固定大小緩衝區的數據的大小。此漏洞允許攻擊者向Cisco設備的TCP 4786埠發送精心構造的惡意數據包,實現遠程代碼任意執行。
影響範圍:
1、據Shodan等來源數據,超16萬暴露在公網的設備受影響,其中美國、俄羅斯和中國受影響最大, 美國有55000台設備受影響,中國可能有14000台設備受影響。
2、確認受影響設備:Catalyst 4500Supervisor EnginesCisco Catalyst3850 Series SwitchesCisco Catalyst2960 Series Switches
3、所有支持Smart Install Client模式的交換機都可能受此漏洞影響,包括但不限於:Catalyst4500Supervisor EnginesCatalyst3850SeriesCatalyst3750SeriesCatalyst3650SeriesCatalyst3560SeriesCatalyst2960SeriesCatalyst2975SeriesIE 2000IE 3000IE 3010IE 4000IE 5000SM-ES2 SKUsSM-ES3 SKUsNME-16ES-1G-PSM-X-ES3 SKUs
應對方法:如無需使用SmartInstall,可通過no vstack命令禁用該功能。如需使用,通過軟體更新進行漏洞修復。詳見https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2
三、在野攻擊
2、掃描4786埠的IP:
詳見下面的IP列表
可以看下掃描4786埠的頻度波動
![](https://pic.pimg.tw/zzuyanan/1488615166-1259157397.png)
![](https://pic.pimg.tw/zzuyanan/1482887990-2595557020.jpg)
TAG:安全威脅情報 |