查看: 1460|回复: 0
收起左侧

[技术原创] 思科SMI的远程代码执行漏洞攻击呈爆发趋势

[复制链接]
腾讯电脑管家
发表于 2018-4-11 16:11:41 | 显示全部楼层 |阅读模式


0x1 概述


近日,腾讯御见威胁情报中心IoT蜜网系统监测到针对CiscoIOSIOS XE Software Smart Install远程命令执行漏洞的攻击有爆发式增长,49号截止到上午1040分,捕获到的攻击量是48号的两到三倍。

Smart Install作为一项即插即用配置和镜像管理功能,为新加入网络的交换机提供零配置部署,实现了自动化初始配置和操作系统镜像加载的过程,同时还提供配置文件的备份功能。

2018328日,Cisco发布了一个远程代码执行严重漏洞通告(CVE-2018-0171 )即Cisco Smart Install存在远程命令执行漏洞,攻击者无需用户验证即可向远端Cisco设备的TCP 4786端口发送精心构造的恶意数据包,触发漏洞造成设备远程执行Cisco系统命令或拒绝服务(DoS)。

(漏洞详情:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2)。


0x2 捕获的扫描攻击趋势情况




可以看出自47日后,针对4786端口的攻击明显上升。

攻击IP分布如下表:



0x3 影响


Ø  受影响设备型号(不限于):

Catalyst 4500Supervisor Engines
Cisco Catalyst 3850 Series Switches
Cisco Catalyst 2960 Series Switches
Catalyst 4500 Supervisor Engines
Cisco Catalyst 3850 Series Switches
Cisco Catalyst 2960 Series Switches
Catalyst 4500 Supervisor Engines
Catalyst 3850 Series
Catalyst 3750 Series
Catalyst 3650 Series
Catalyst 3560 Series
Catalyst 2960 Series
Catalyst 2975 Series
IE 2000
IE 3000
IE 3010
IE 4000
IE 4010
IE 5000
SM-ES2 SKUs
SM-ES3 SKUs
NME-16ES-1G-P
SM-X-ES3 SKUs


Ø  受影响范围

根据shodan的数据,全球大概有20W的设备受威胁,其中美国占有5W台,中国占1.4W台,俄罗斯占1.3W台,以下是全球受影响设备分布情况:



0x4 解决方案


         检查是否开启4786端口,是否存在受影响的设备型号。若有,可通过思科官方补丁修复漏洞,并对该端口设置acl访问限制。详细请参考https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2


0x5 参考资料


http://www.cnvd.org.cn/flaw/show/CNVD-2018-06774

https://www.cisco.com/c/en/us/td/docs/switches/lan/smart_install/configuration/guide/smart_install/concepts.html

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2

https://www.shodan.io/search?query=port%3A%224786%22

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 12:05 , Processed in 0.197977 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表