當前位置:
首頁 > 最新 > 你的Cisco路由器設備正在被攻擊!

你的Cisco路由器設備正在被攻擊!

最新 04-11


一、背景

思科在2018年3月28日發布關於Cisco IOS和Cisco IOS XE系統的安全通告,介紹了相關的22個漏洞,其中有三個漏洞等級為嚴重,分別為CVE-2018-0150、CVE-2018-0151和CVE-2018-0171,其餘漏洞等級為高。2017年5月,Embedi安全公司研究員、俄羅斯白帽黑客George Nosenko在GeekPwn黑客大會上演示了一個思科交換機Smart Install的緩衝區堆棧溢出漏洞,即CVE-2018-0171,目前已公布PoC。


CVE-2018-0150、CVE-2018-0151和CVE-2018-0171相關的成因、影響和應對方法。CVE-2018-0150漏洞描述:該漏洞允許未經身份驗證的遠程攻擊者使用默認賬密登陸受影響的Cisco IOS XE設備。漏洞成因:因系統內存在一個隱藏的特權級別為15的賬戶,導致攻擊者可能通過此賬戶默認賬密遠程登錄受影響的設備,實現對設備的完全控制。影響範圍:CiscoIOS XE 16.x應對方法:使用nousername cisco命令刪除默認帳戶,或者以管理員登陸設備更改默認密碼。

詳見 https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-xesc

CVE-2018-0151

漏洞描述:CiscoIOS和Cisco IOS XE的QoS子系統中的遠程代碼執行漏洞。

漏洞成因:因程序沒有正確的對數據包中的值執行邊界檢測,導致攻擊者可通過向UDP 18999埠發送精心構造的惡意數據包,最終在目標設備上實現拒絕服務或遠程代碼執行。

影響範圍:運行CiscoIOS和Cisco IOS XE軟體的設備。

確認是否受影響:以管理員身份登錄設備並在CLI中執行show udp命令

應對方法:

1、如不使用QoS系統的DMVPN功能,可關閉埠18999,或在CoPP控制面板添加如下策略拒絕來自UDP埠18999的流量。

2、如需使用QoS系統的DMVPN功能,則通過軟體更新進行漏洞修復。

詳見https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-qos#fixed

CVE-2018-0171

漏洞描述:CiscoIOS和Cisco IOS XE的Smart Install存在的遠程代碼執行漏洞,攻擊者無需用戶驗證即可向Cisco設備的TCP 4786埠發送精心構造的惡意數據包,觸發漏洞實現遠程代碼執行和拒絕服務。

漏洞成因:使用SmartInstall的網路包含一組被稱為Clients的網路設備,由一個通用的第三層交換機或路由器作為Director來提供服務。Smart Install Client默認在TCP(4786)埠上開啟了服務,由SMIIBC Server Process進程實現,用來與Smart Install Director交互。當SMI IBC Server處理惡意構造的ibd_init_discovery_msg時會導致緩衝區溢出,因為smi_ibc_handle_ibd_init_discovery_msg函數未檢查複製到固定大小緩衝區的數據的大小。此漏洞允許攻擊者向Cisco設備的TCP 4786埠發送精心構造的惡意數據包,實現遠程代碼任意執行。

影響範圍:

1、據Shodan等來源數據,超16萬暴露在公網的設備受影響,其中美國、俄羅斯和中國受影響最大, 美國有55000台設備受影響,中國可能有14000台設備受影響。

2、確認受影響設備:Catalyst 4500Supervisor EnginesCisco Catalyst3850 Series SwitchesCisco Catalyst2960 Series Switches

3、所有支持Smart Install Client模式的交換機都可能受此漏洞影響,包括但不限於:Catalyst4500Supervisor EnginesCatalyst3850SeriesCatalyst3750SeriesCatalyst3650SeriesCatalyst3560SeriesCatalyst2960SeriesCatalyst2975SeriesIE 2000IE 3000IE 3010IE 4000IE 5000SM-ES2 SKUsSM-ES3 SKUsNME-16ES-1G-PSM-X-ES3 SKUs

應對方法:如無需使用SmartInstall,可通過no vstack命令禁用該功能。如需使用,通過軟體更新進行漏洞修復。詳見https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2

三、在野攻擊

2、掃描4786埠的IP:

詳見下面的IP列表

可以看下掃描4786埠的頻度波動


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 安全威脅情報 的精彩文章:

TAG:安全威脅情報 |