【事件分析】Cisco Smart Install安全漏洞&&远程代码执行漏洞【CVE-2018-0171】

近日，白帽汇安全研究院发现诸多Cisco设备因使用Smart Install的组件导致被设备被入侵，根据俄罗斯和伊朗所遭受攻击的情况了来看， 黑客攻击导致设备瘫痪之后，还留下了字条称：“不要干涉我们的选举”，同时还附上美国国旗。

经过白帽汇安全研究院确认,得出如下结论：

1、只要使用了Smart Install组件的Cisco设备，就能完全控制路由器。官方针对该组件问题，并没有提供任何“补丁”，只提供了ACL用于关闭访问限制。

2、本次RCE漏洞（CVE-2018-0171）可以实现底层系统命令（非伪终端）。

3、本次插旗事件的效果只通过结论1即可完成攻击，完全不需要RCE漏洞（CVE-2018-0171），实际情况也是如此。

4、FOFA系统正在对SMI协议进行识别。用户可通过FOFA输入“protocol=smi” 来进行搜索。

漏洞原理与危害

思科 Smart Install 是促进 LAN 交换机管理的思科 Smart Operations 解决方案的一个组件。使用了Smart Install 客户端的Cisco交换机默认会开启TCP 4786端口。使用了该组件的设备存在两个影响严重的漏洞，一个为该协议的滥用问题,一个为远程代码执行漏洞。

该客户端未进行任何鉴权，导致滥用 Smart Install 协议可能导致修改 TFTP服务器设置、通过 TFTP 窃取配置文件、更换 IOS 映像，甚至可能会执行IOS 命令。Cisco的Talos团队发布了针对该漏洞的测试与利用程序用于检查受影响的系统。最早对启用 SMI 设备（端口4786）的扫描工作始于2017年2月，扫描到的设备数量并在10月明显增多，而在2017年2月份思科发出最新警告后数量翻了一番。

另外一个是远程代码执行攻击者发送精心构造的数据包到该端口，就可能触发栈溢出漏洞，造成远程代码执行或者拒绝服务（DoS）攻击。其CVE编号为CVE-2018-0171。

目前白帽汇监测到，已经有受到这两种攻击的受害者。白帽汇提醒大家，及时做好防范措施，做好安全防护。

漏洞影响

目前确认受影响的设备包括：

Cisco Catalyst 4500 SupervisorEngine 6L-E

Cisco IOS 15.2.2E6 (Latest,Suggested)

cat4500e-entservicesk9-mz.152-2.E6.bin(23-DEC-2016)

Cisco Catalyst 2960-48TT-L Switch

Cisco IOS 12.2(55)SE11 (Suggested)

c2960-lanbasek9-mz.122-55.SE11.bin(18-AUG-2016)

Cisco IOS 15.0.2-SE10a (Latest)

c2960-lanbasek9-mz.150-2.SE10a.bin(10-NOV-2016)

Cisco Catalyst 3850-24P-E Switch

Cisco IOS-XE 03.03.05.SE

cat3k_caa-universalk9.SPA.03.03.05.SE.150-1.EZ5.bin(03-NOV-2014)

可能受影响的设备包括:

Catalyst 4500 Supervisor Engines
Catalyst 3850 Series
Catalyst 3750 Series
Catalyst 3650 Series
Catalyst 3560 Series
Catalyst 2960 Series
Catalyst 2975 Series
IE 2000
IE 3000
IE 3010
IE 4000
IE 4010
IE 5000
SM-ES2 SKUs
SM-ES3 SKUs
NME-16ES-1G-P
SM-X-ES3 SKUs

漏洞POC

目前白帽汇安全研究院已经上线针对Smart Install 协议滥用的PoC。用户可以购买对企业资产进行安全检查。另外一个漏洞PoC，白帽汇安全研究院正在研究中。

漏洞利用：

以下是获取配置文件的利用，成功获取到配置文件。

CVE编号

CVE-2018-0171

修复建议

1、可以使用Cisco的Cisco IOS Software Checker检测是否存在漏洞：https://tools.cisco.com/security/center/softwarechecker.x
如果存在漏洞，请及时进行修复。
2、确认是否开启4786端口，如开启，请使用防火墙对端口进行访问限制。
3、使用官方提供的SMI_check.py 脚本进行检查，确认是否受影响。

白帽汇会持续对该漏洞进行跟进。后续可以持续关注本预警。

参考

[1] https://embedi.com/blog/cisco-smart-install-remote-code-execution/ 

[2] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixed

[3] https://github.com/Cisco-Talos/smi_check/

[4] https://www.cisco.com/c/dam/m/zh_cn/products/security/talos/security_smartinstall_blog_sc.pdf

[5]https://www.cisco.com/c/en/us/td/docs/switches/lan/smart_install/configuration/guide/smart_install/concepts.html#23355 

[6]https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170214-smi 

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-大数据安全协作平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。