4月9日訊 2018年3月末曝光的一個(gè)思科高危漏洞CVE-2018-0171在清明小長(zhǎng)假期間被黑客利用發(fā)動(dòng)攻擊，國(guó)內(nèi)多家機(jī)構(gòu)中招，配置文件被清空，安全設(shè)備形同虛設(shè)。此漏洞影響底層網(wǎng)絡(luò)設(shè)備，且漏洞 PoC 已公開(kāi)，很有可能構(gòu)成重大威脅。

CVE-2018-0171漏洞詳情

思科3月28日發(fā)布安全公告指出，思科 IOS 和 IOS-XE 軟件 Smart Install Client （開(kāi)啟了Cisco Smart Install管理協(xié)議，且模式為client模式）存在遠(yuǎn)程代碼執(zhí)行漏洞CVE-2018-0171，CVSS 評(píng)分高達(dá)9.8分（總分10分）。攻擊者可遠(yuǎn)程向TCP 4786端口發(fā)送惡意數(shù)據(jù)包，觸發(fā)目標(biāo)設(shè)備的棧溢出漏洞造成設(shè)備拒絕服務(wù)（DoS）或遠(yuǎn)程執(zhí)行任意代碼。

2018年3月29日，我國(guó)國(guó)家信息安全漏洞共享平臺(tái)（簡(jiǎn)稱(chēng) CNVD）收錄了該漏洞，編號(hào)為CNVD-2018-06774。 CNVD對(duì)該 漏洞的描述為：

Smart Install 作為一項(xiàng)即插即用配置和鏡像管理功能，為新加入網(wǎng)絡(luò)的交換機(jī)提供零配置部署，實(shí)現(xiàn)了自動(dòng)化初始配置和操作系統(tǒng)鏡像加載的過(guò)程，同時(shí)還提供配置文件的備份功能。Cisco Smart Install 存在遠(yuǎn)程命令執(zhí)行漏洞，攻擊者無(wú)需用戶驗(yàn)證即可向遠(yuǎn)端Cisco 設(shè)備的 TCP 4786 端口發(fā)送精心構(gòu)造的惡意數(shù)據(jù)包，觸發(fā)漏洞讓設(shè)備遠(yuǎn)程執(zhí)行 Cisco 系統(tǒng)命令或拒絕服務(wù)（DoS）。

據(jù) CNVD 發(fā)布的公告顯示，全球 Cisco Smart Install系統(tǒng)規(guī)模為14.3萬(wàn)；按國(guó)家分布情況來(lái)看，用戶量排名前三的分別是美國(guó)（29%）、中國(guó)（11%）和日本（6%）。

確認(rèn)受影響的設(shè)備：

Catalyst 4500 Supervisor Engines；Cisco Catalyst 3850 Series Switches；Cisco Catalyst 2960 Series Switches。

以下包含 Smart Install Client 的設(shè)備可能受漏洞影響：

Catalyst 4500 Supervisor Engines；Catalyst 3850 Series；Catalyst 3750 Series；Catalyst 3650 Series；Catalyst 3560 Series；Catalyst 2960 Series；Catalyst 2975 Series；

IE 2000；IE 3000；IE 3010；IE 4000；IE 4010；IE 5000；

SM-ES2 SKUs；SM-ES3 SKUs；NME-16ES-1G-P；SM-X-ES3 SKUs。

全球20多萬(wàn)臺(tái)路由器受到影響

最初，研究人員認(rèn)為，該漏洞只能被同網(wǎng)絡(luò)中的黑客利用。

2018年4月5日，思科 Talos 團(tuán)隊(duì)發(fā)博文稱(chēng)，發(fā)現(xiàn)黑客利用該漏洞攻擊關(guān)鍵基礎(chǔ)設(shè)施。該團(tuán)隊(duì)通過(guò)搜索引擎 Shodan 發(fā)現(xiàn)，約有250,000個(gè)易受攻擊的思科設(shè)備打開(kāi)了TCP端口4786，潛在暴露的系統(tǒng)約16.8萬(wàn)個(gè)。在思科發(fā)布漏洞預(yù)警時(shí)，其研究人員在第一時(shí)間識(shí)別出大約有850萬(wàn)臺(tái)設(shè)備使用了此端口，但無(wú)法確定這些系統(tǒng)上是否存在 Smart Install 功能。

伊朗、俄羅斯率先遭到攻擊

2018年4月6日，黑客組織“JHT”利用思科的 Smart Install 安全漏洞 CVE-2018-0171 率先攻擊了俄羅斯和伊朗的計(jì)算機(jī)基礎(chǔ)設(shè)施，影響了互聯(lián)網(wǎng)服務(wù)提供商、數(shù)據(jù)中心以及若干網(wǎng)站。黑客利用該漏洞將路由器重置為默認(rèn)配置，并向受害者顯示信息。

攻擊者利用該漏洞對(duì)思科服務(wù)器發(fā)起攻擊。隨后，路由器的配置文件“startup-config”被重寫(xiě)，路由器重啟，進(jìn)而導(dǎo)致網(wǎng)絡(luò)中斷。除此之外，管理員還發(fā)現(xiàn)了路由器的 startup-config 文件被篡改為警告消息：“不要干擾我們的選舉…-JHT”。除了禁用設(shè)備及讓設(shè)備癱瘓，該組織還留下了一張美國(guó)國(guó)旗的圖片。

Talos 團(tuán)隊(duì)認(rèn)為，這起攻擊與美國(guó)計(jì)算機(jī)應(yīng)急響應(yīng)小組2018年3月發(fā)布的警告（稱(chēng)俄羅斯政府瞄準(zhǔn)能源和其它關(guān)鍵基礎(chǔ)設(shè)施行業(yè)）有關(guān)。據(jù)推測(cè)，這正是該黑客組織為此做出的回應(yīng)。攻擊者表示，他們只是想傳遞信息。專(zhuān)家推測(cè)，這次大范圍的網(wǎng)絡(luò)攻擊很可能是由民間黑客組織發(fā)起，以此來(lái)表示對(duì)俄羅斯干涉美國(guó)大選的不滿。

黑客組織“JHT”向媒體透露，他們掃描了許多國(guó)家易遭受攻擊的系統(tǒng)，但只將目標(biāo)對(duì)準(zhǔn)俄羅斯和伊朗的路由器。該黑客組織還表示其通過(guò)發(fā)出“no vstack”命令修復(fù)了在美國(guó)和英國(guó)路由器上發(fā)現(xiàn)的 Smart Install 安全漏洞。

受到攻擊的路由器的啟動(dòng)配置

中國(guó)受影響設(shè)備約1.4萬(wàn)臺(tái)

據(jù)路透社報(bào)道，伊朗通信與信息技術(shù)部表示，全球有20多萬(wàn)臺(tái)路由器受到影響：

伊朗：3500臺(tái)；

美國(guó)：5.5萬(wàn)臺(tái)；

中國(guó)：1.4萬(wàn)臺(tái)。

伊朗通信與信息技術(shù)部部長(zhǎng) Mohammad Javad Azari-Jahromi 在推特上表示，美國(guó)東部時(shí)間2018年4月6日下午1:12，伊朗95%受影響的路由器已恢復(fù)正常服務(wù)。伊朗IT部長(zhǎng)穆罕默德?賈瓦德?阿扎里?賈赫羅米表示，攻擊主要影響的是歐洲、印度和美國(guó)。

然而，2018年4月8日，中國(guó)多個(gè)機(jī)構(gòu)也遭到了類(lèi)似的攻擊。

如何自查？

遠(yuǎn)程自查：

方法一：確認(rèn)目標(biāo)設(shè)備是否開(kāi)啟4786/TCP端口，如果開(kāi)啟則表示可能受到影響。比如用nmap掃描目標(biāo)設(shè)備端口：nmap -p T:4786 192.168.1.254

方法二：使用Cisco提供的腳本探測(cè)是否開(kāi)放Cisco Smart Install協(xié)議，若開(kāi)啟則可能受到影響。# python smi_check.py -i 192.168.1.254[INFO] Sending TCP probe to targetip:4786[INFO] Smart Install Client feature active on targetip:4786[INFO] targetip is affected。

本地自查（需登錄設(shè)備）：

方法三：可以通過(guò)以下命令確認(rèn)是否開(kāi)啟 Smart Install Client 功能：switch>show vstack configRole: Client (SmartInstall enabled)Vstack Director IP address: 0.0.0.0switch>show tcp brief allTCB Local Address Foreign Address (state)0344B794 *.4786 *.* LISTEN0350A018 *.443 *.* LISTEN03293634 *.443 *.* LISTEN03292D9C *.80 *.* LISTEN03292504 *.80 *.* LISTEN

方法四：switch>show version將回顯內(nèi)容保存在a.txt中，并上傳至Cisco的Cisco IOS Software Checker進(jìn)行檢測(cè)。檢測(cè)地址：https://tools.cisco.com/security/center/softwarechecker.x

臨時(shí)處置措施（關(guān)閉協(xié)議）

switch#conf tswitch(config)#no vstackswitch(config)#do wrswitch(config)#exit

檢查端口已經(jīng)關(guān)掉：

switch>show tcp brief allTCB Local Address Foreign Address (state)0350A018 *.443 *.* LISTEN03293634 *.443 *.* LISTEN03292D9C *.80 *.* LISTEN03292504 *.80 *.* LISTEN