漏洞描述

        思科 IOS 和 IOS-XE 系統(tǒng) Smart Install Client 代碼中存在一個緩沖區(qū)堆棧溢出漏洞（CVE-2018-0171）。攻擊者可以遠程向 TCP 4786 端口發(fā)送一個惡意數(shù)據(jù)包，觸發(fā)目標設備的棧溢出漏洞，造成設備拒絕服務（DoS）或在造成遠程命令執(zhí)行。攻擊者可以利用這個漏洞導致設備重啟或配置丟失，從而導致業(yè)務發(fā)生中斷。
如果設備不啟用Smart Install Client 功能將不受到影響。
可能受到影響的設備類型

• Catalyst 2960
• Catalyst 2960-C
• Catalyst 2960-CX
• Catalyst 2960-L
• Catalyst 2960-P
• Catalyst 2960-S
• Catalyst 2960-SF
• Catalyst 2960-X
• Catalyst 2960-XR
• Catalyst 2975
• Catalyst 3560
• Catalyst 3560-C
• Catalyst 3560-CX
• Catalyst 3560-E
• Catalyst 3560-X
• Catalyst 3650
• Catalyst 3750
• Catalyst 3750 Metro Series
• Catalyst 3750-E
• Catalyst 3750-X
• Catalyst 3850
• Catalyst 4500 Supervisor Engine, 6E, 6LE, 7E, 7LE, 8E, 8LE
• Catalyst 6500 Supervisor Engine 2T-10GE
• IE 2000
• IE 3000
• IE 3010
• IE 4000
• IE 4010
• IE 5000
• ME 3400E Series Ethernet Access
• ME 3400 Series Ethernet Access
• NME-16ES-1G-P
• SM-ES2 SKUs
• SM-ES3 SKUs
• SM-X-ES3 SKUs

        不受影響系統(tǒng)及應用版本

1. 手工關閉了Cisco Smart Install管理協(xié)議，或模式為Director模式的Cisco設備均不受影響。(注：所有相關產(chǎn)品在出廠時默認開啟了該項功能)
2. 具備以下軟件版本的設備不在影響范圍之內：

• Catalyst 2960系列交換機：15.2(2)E8,15.2(4)E6,15.2(6)E1及后續(xù)發(fā)布的IOS版本
• Catalyst 3560/3750系列交換機：15.2(4)E6及后續(xù)發(fā)布的IOS版本
• Catalyst 3650/3850系列交換機：16.3.6，3.6.8E及后續(xù)發(fā)布的IOS-XE版本
• Catalyst 4500系列交換機：3.6.8E及后續(xù)發(fā)布的IOS-XE版本
• Catalyst65 Supervisor Engine 2T-10GE：15.2(1)SY6及后續(xù)發(fā)布的IOS版本
• IE系列交換機：15.5(1)SY1及后續(xù)發(fā)布的IOS版本
• ME系列交換機：12.2(60)EZ12及后續(xù)發(fā)布的IOS版本

漏洞檢測

       對于可能存在“Cisco Smart Install遠程命令執(zhí)行”漏洞的設備，思科提供如下的檢查方法，快速定位使用設備是否存在該項漏洞。
      方法一：通過命令行命令確認Smart Install Client功能是否開啟
      在設備的命令行輸入命令可以直接檢查Smart Install Client功能是否開啟，命令執(zhí)行結果如下所示：

     switch>show vstack config | inc Role
     Role: Client (SmartInstall enabled)

     方法二：通過命令行命令確認Smart Install Client所使用的TCP端口是否激活
      對于部分軟件版本過于陳舊的設備，命令行不支持“vstack”相關命令，但也可能存在該功能漏洞，可以通過直接檢查TCP端口4786是否激活的方式，用于確認是否可能存在該漏洞，命令執(zhí)行結果如下所示：
switch>show tcp brief all
TCB       Local Address            Foreign Address             (state)
05FD9F98  0.0.0.0.4786               *.*                         LISTEN
0568FFFC  0.0.0.0.443                *.*                         LISTEN
0568F038  0.0.0.0.443                *.*                         LISTEN
0568E428  0.0.0.0.80                 *.*                         LISTEN
0568D818  0.0.0.0.80                 *.*                         LISTEN

通過以上兩種方法，可以快速定位設備是否存在該項漏洞，或是Cisco Smart Install Client功能是否處于激活狀態(tài)。

漏洞修復

    對于可能存在“Cisco Smart Install遠程命令執(zhí)行”漏洞的設備，思科提供如下的技術手段，規(guī)避該漏洞所帶來的風險。
    方法一：將設備軟件升級到最新軟件版本
通過升級設備所使用的軟件版本，可以修復設備的該漏洞，所需的軟件版本，可在Cisco IOS Software Checker網(wǎng)站上進行查詢，也可以聯(lián)系思科代理商或是思科公司獲取相關的軟件。

    方法二：關閉“Smart Install Client”功能
升級設備軟件，會導致設備的重新啟動，可能會影響到網(wǎng)絡的使用，如果需要暫時性的規(guī)避該漏洞所帶來的風險，可以采用手工關閉“Smart Install Client”的功能的方法，在線的規(guī)避風險，關閉該功能的命令及運行結果如下所示：
switch(config)#no vstack
switch#show vstack config | inc Role
 Role: Client (SmartInstall disabled)

     方法三：設備不支持“no vstack”命令
部分軟件版本過于陳舊的設備，可能不支持“no vstack”命令，如果檢查出該設備具有該漏洞，可以通過手工部署ACL的方法，規(guī)避風險。使用的命令如下所示：
ip access-list extended SMI_HARDENING_LIST
    deny tcp any any eq 4786
    permit ip any any
interface GigabitEthernet0/0
 ip access-group SMI_HARDENING_LIST in

    方法四：需要使用SMART Install Client功能場景，但無法升級軟件版本
在部分場景，需要使用Smart Install Client的功能，但由于無法升級軟件，可通過對TCP端口4786進行訪問控制，僅允許Smart Install Director和Smart Install Client進行通信，避免惡意攻擊。使用的命令如下所示：
ip access-list extended SMI_HARDENING_LIST
    permit tcp host 10.10.10.1 host 10.10.10.200 eq 4786
    deny tcp any any eq 4786
    permit ip any any
interface GigabitEthernet0/0
 ip access-group SMI_HARDENING_LIST in

以上方法均無法執(zhí)行，可以聯(lián)系思科公司