思科交換機Smart Install Client高危漏洞正被大範圍利用

最新 04-13

編號: TB-2018-0002

報告置信度:90

TAG:思科、漏洞、CVE-2016-1349、CVE-2018-0171、Cisco Smart Install Protocol Misuse、Dragonfly

TLP: 白 (可公開)

日期: 2018-04-10

近日，微步在線監測到大量開啟Smart Install 功能且暴露在公網的思科交換機遭遇了大範圍的攻擊，被攻擊的交換機的startup-config配置文件被清空或者改寫，同時設備會重啟造成網路中斷。此外，有國家背景的高危APT組織利用Smart Install 功能對國家關鍵基礎設施進行定向攻擊，危害極大。我們強烈建議使用思科交換機且啟用Smart Install功能的客戶儘快關閉該功能，具體請參考本文「行動建議」部分。我們的主要發現如下：

+ 根據思科官方的披露，自2011年以來，思科Smart Install功能曾經被爆出多個高危漏洞，典型漏洞包括CVE-2016-1349和CVE-2018-0171以及Cisco Smart Install 協議濫用缺陷。其中Cisco Smart Install 協議濫用缺陷允許未經身份驗證的遠程攻擊者更改startup-config文件並強制重新載入設備，在設備上載入新的IOS鏡像，並在運行Cisco IOS和IOS XE軟體的交換機上執行高許可權CLI命令。

+ 根據思科官方通告和部分媒體報道，目前已經監測發現針對思科Smart Install功能的大範圍攻擊，大部分被攻擊設備位於俄羅斯和伊朗。與此同時，微步在線也監測到位於國內的思科交換機也存在被攻擊的現象。因此，建議國內用戶引起高度重視。

+ 根據微步在線的監測數據，目前全球約有16萬的高風險設備暴露在公網，主要分布在美國、俄羅斯、中國和日本等地，其中我國大約存在1萬高風險設備。

+ 據思科官方以及US-Cert的分析，俄羅斯黑客組織Dragonfly[1]曾利用Cisco Smart Install協議濫用缺陷攻擊美國的能源等關鍵基礎設施。該攻擊手法很可能會被其他APT攻擊組織效仿。

+ 微步在線經過密切的跟蹤分析，提取了相關活躍攻擊IP 24個，可以結合內部相關日誌確認是否受到影響，具體IOC請參見附錄。

Cisco Smart Install協議為思科交換機提供配置和圖像管理功能，使用DHCP、TFTP和專有TCP協議幫助企業部署運行交換機。使用Smart Install的網路包含一組被稱為Clients的網路設備，由一個通用的第三層交換機作為Director來提供服務，Smart Install Client默認在TCP 4786埠上開啟服務。

自發布以來，Smart Install被爆出多個高危漏洞，主要包含拒絕服務和遠程代碼執行漏洞，其中危害較大的漏洞有CVE-2016-1349和CVE-2018-0171。此外，Smart Install設計時未考慮身份驗證，濫用該協議允許未經身份驗證的遠程攻擊者更改startup-config文件並強制重新載入設備，在設備上載入新的IOS鏡像，並在運行Cisco IOS和IOS XE軟體的交換機上執行高許可權CLI命令。

Smart Install協議濫用、CVE-2016-1349和CVE-2018-0171的相關對比如下：

近年來針對思科Smart Install的相關研究和報道如下：

- 在2016年11月17日至18日舉行的ZeroNights黑客大會上，研究者Alexander Evstigneev和Dmitry Kuznetzov發布了關於Cisco Smart Install的研究，並公開了相關攻擊程序SIET，詳見附錄。根據SIET的使用說明，其具備獲取設備配置、更改配置、更新設備IOS和在設備的控制台執行命令等功能。

- 2017年2月14日，思科發布了關於濫用Smart Install協議的安全通告，指出Smart Install存在設計缺陷，但未對該問題進行修復，只是建議關閉Smart Install功能或限制4786埠的通信。

- 2017年5月，Embedi安全公司研究員、俄羅斯白帽黑客George Nosenko在GeekPwn黑客大會上演示了一個思科交換機Smart Install的緩衝區堆棧溢出漏洞，通過向Cisco設備的TCP 4786埠發送精心構造的惡意數據包，觸發漏洞實現遠程代碼執行和拒絕服務。該漏洞的CVE編號為CVE-2018-0171，Embedi已公布PoC，相關PoC見附錄。

- 2018年3月28日，思科發布了關於Cisco IOS和Cisco IOS XE系統的安全通告，介紹了相關的22個漏洞，其中有三個漏洞等級為嚴重，分別為CVE-2018-0150、CVE-2018-0151和CVE-2018-0171，其餘漏洞等級為高，其中CVE-2018-0171與Smart Install有關。

- 2018年4月5日，思科Talos報告了Smart Install濫用問題，指出俄羅斯背景的黑客組織Dragonfly曾濫用Smart Install攻擊美國的能源等關鍵基礎設施。此外，Talos稱，目前約有16.8萬相關設備暴露在公網，可能遭到攻擊。自思科披露Smart Install濫用以來，一直存在斷斷續續的掃描，但在2017年11月9日和2018年4月初觀測到掃描的急劇增加。

- 2018年4月9日，思科再次發布安全通告，建議採取措施保護Cisco IOS和Cisco IOS XE的Smart Install。

所有系統為Cisco IOS或Cisco IOS XE，並啟用Smart Install功能的思科交換機。

檢測措施

通過運行命令確認是否受影響：

1、運行show vstack config |include Role命令，如輸出結果顯示Role: Client (SmartInstall enabled)則表示受影響，建議進行修復。此外，也可以運行show vstack config命令，如輸出結果包含per Mode: Enabled則表示受影響。

2、使用Cisco提供的smi_check.py腳本進行檢查。

地址：https://github.com/Cisco-Talos/smi_check

3、使用在線的CiscoIOS軟體檢查器，確定特定版本的Cisco IOS和IOSXE的安全影響評級。

地址：https://tools.cisco.com/security/center/softwarechecker.x

- 鑒於CiscoSmart Install協議本身存在缺陷，建議通過運行novstack命令禁用該功能。如需使用SmartInstall，建議不要將相關設備暴露在公網，並且在使用之後進行關閉。

- 受Smart Install漏洞影響的Cisco IOS和IOS XE系統還包含其他漏洞，建議通過更新軟體進行修復。

見IOC列表