Cisco IOS IOS XE CVE-2018-0171远程执行代码漏洞

作者:embedi风险:重要

CVE:CVE-2018-0171 0day:远程执行代码

0day db-id:Exploit-17267日期:2018-04-10

介绍

Smart Install Client 代码中发现基于堆栈的缓冲区溢出漏洞 。此漏洞使攻击者无需身份验证即可远程执行任意代码。因此它可以完全控制易受攻击的网络设备。

Smart Install 是即插即用的配置和图像管理功能,为新型交换机提供零接触部署。它使初始配置过程自动化,并为当前操作系统镜像加载新的网络交换机。这意味着您可以将交换机运送到某个位置,将其置于网络中,并在没有管理员的情况下在设备上进行配置而无需进行配置。该技术还可在配置发生变化并热插拔损坏的设备时提供备份。

使用的网络 Smart Install 包括一组称为的网络设备,这些网络设备 clients由Layer 3作为导向器的公共 交换机或路由器提供服务。

在 director 提供了用于图像和客户端交换机的配置的单个管理点。客户端交换机与主管有直接或间接的连接,以便他们可以从中接收映像和配置下载。

有关该Smart Install 技术的更多信息 可在官方文档中找到 。

该漏洞位于代码中 Smart Install Client。

需要注意的是,该技术要求默认情况下在客户端上启用该技术。这个事实影响了这个漏洞的覆盖范围和影响,但更多的则在下面。

漏洞描述

该 SMI IBC Server Process 过程包含一个 Smart Install Client 实现代码。在 Smart Install Client开始的一个服务器 TCP(4786) 端口(默认开启)与互动 Smart Install Director。

当此服务器正在处理特制恶意消息 ibd_init_discovery_msg 时,会发生基于堆栈的缓冲区溢出。

更确切地说,缓冲区溢出发生在函数中 smi_ibc_handle_ibd_init_discovery_msg

因为未检查复制到固定大小缓冲区的数据大小。大小和数据直接来自网络数据包,并受攻击者控制。

如何检查设备是否存在漏洞

如果您的思科网络设备具有开放 TCP 4786 端口,则易受攻击。为了找到这样的设备,只需扫描您的网络。

nmap -p T:4786 192.168.1.0/24- p T :4786 192.168 。1.0 / 24 

要检查网络设备是否属于某种 Smart Install Client 类型,请输入以下命令:

switch>show vstack config>show vstack config
 Role: Client (SmartInstall enabled)Role: Client (SmartInstall enabled)
 Vstack Director IP address: 0.0.0.0Vstack Director IP address: 0.0.0.0

switch>show tcp brief allswitch>show tcp brief all
TCB       Local Address           Foreign Address        (state)Local Address           Foreign Address        (state)
0344B794  *.4786                  *.*                    LISTEN0344B794  *.4786                  *.*                    LISTEN
0350A018  *.443                   *.*                    LISTEN0350A018  *.443                   *.*                    LISTEN
03293634  *.443                   *.*                    LISTEN03293634  *.443                   *.*                    LISTEN
03292D9C  *.80                    *.*                    LISTEN03292D9C  *.80                    *.*                    LISTEN
03292504  *.80                    *.*                    LISTEN03292504  *.80                    *.*                    LISTEN

Internet扫描结果

在发现漏洞后,我们认定它只能用于企业网络内的攻击。因为在安全配置的网络中, Smart Install 技术参与者不应该通过Internet访问。

但是扫描互联网已经表明这不是事实。

在对互联网进行短暂扫描期间,我们检测到250,000个易受攻击的设备和8,500,000个具有易受攻击端口的设备。

可能发生这种情况的原因是, Smart Install 客户端端口 TCP(4786) 默认打开,网络管理员不会注意到这一点。

受影响的硬件/软件

该漏洞被检查了以下设备: Catalyst 4500 Supervisor Engines, Cisco Catalyst 3850 Series Switches,和 Cisco Catalyst 2960 Series Switches。

* Cisco Catalyst 4500 Supervisor引擎6L-E

* Cisco IOS 15.2.2E6(最新,建议)
cat4500e-entservicesk9-mz.152-2.E6.bin (23-DEC-2016)

* Cisco Catalyst 2960-48TT-L交换机

* Cisco IOS 12.2(55)SE11(建议)
c2960-lanbasek9-mz.122-55.SE11.bin (18-AUG-2016)

* Cisco IOS 15.0.2-SE10a(最新)
c2960-lanbasek9-mz.150-2.SE10a.bin (10-NOV-2016)

* Cisco Catalyst 3850-24P-E交换机

* Cisco IOS-XE 03.03.05.SE
cat3k_caa-universalk9.SPA.03.03.05.SE.150-1.EZ5.bin (03-NOV-2014)

而且,所有可能属于智能安装客户端类型的设备都可能受到攻击。这里是他们的列表:

Catalyst 4500 Supervisor引擎
Catalyst 3850系列
Catalyst 3750系列
Catalyst 3650系列
Catalyst 3560系列
Catalyst 2960系列
Catalyst 2975系列
IE 2000
IE 3000
IE 3010
IE 4000
IE 4010
IE 5000
SM-ES2 SKU
SM-ES3 SKU
NME-16ES-1G-P
SM-X-ES3 SKU


以上内容来源于网络,只提供合法测试用途。
请勿用于非法用途,否则后果自负.


转载请注明出处:https://www.freearoot.com/index.php/cisco-ios-ios-xe-cve-2018-0171%E8%BF%9C%E7%A8%8B%E6%89%A7%E8%A1%8C%E4%BB%A3%E7%A0%81%E6%BC%8F%E6%B4%9E/

文章来源:https://0day.asia/cisco-ios-ios-xe-cve-2018-0171-remote-code-execution-exploit