漏洞描述

        思科(kē) I"♥OS 和(hé) IOS-XE 系統 Sma'≈​σrt Install Client 代碼中存在一(yī)個(gè)"←£₩緩沖區(qū)堆棧溢出漏洞（CVE-2018-0171）。攻擊者可(kě)π♥∞±以遠(yuǎn)程向 TCP 4786 端口發送♦±一(yī)個(gè)惡意數(shù)據包，觸發目标設備的(de)棧溢出漏洞，≤₩造成設備拒絕服務（DoS）或在造成遠(yuǎn)程命令執行σ✔(xíng)。攻擊者可(kě)以利用(yòng)這(←‌>↕zhè)個(gè)漏洞導緻設備重啓或配置丢失，從(cón♦☆™g)而導緻業(yè)務發生(shēng)中斷。
如(rú)果設備不(bù)啓用(yòng)Smart Install Cγ★∏÷lient 功能(néng)将不(bù)受到™₹♦(dào)影(yǐng)響。
可(kě)能(néng)受到(dào)影(yǐng)響的(de)設備類型

• Catalyst 2960
• Catalyst 2960-C
• Catalyst 2960-CX
• Catalyst 2960-L
• Catalyst 2960-P
• Catalyst 2960-S
• Catalyst 2960-SF
• Catalyst 2960-X
• Catalyst 2960-XR
• Catalyst 2975
• Catalyst 3560
• Catalyst 3560-C
• Catalyst 3560-CX
• Catalyst 3560-E
• Catalyst 3560-X
• Catalyst 3650
• Catalyst 3750
• Catalyst 3750 Metro Series
• Catalyst 3750-E
• Catalyst 3750-X
• Catalyst 3850
• Catalyst 4500 Supervisor Engine‍→, 6E, 6LE, 7E, 7LE, 8E, 8LE
• Catalyst 6500 Superv​γisor Engine 2T-10GE
• IE 2000
• IE 3000
• IE 3010
• IE 4000
• IE 4010
• IE 5000
• ME 3400E Series Ethernet Acc∏γess
• ME 3400 Series Ethernet Access
• NME-16ES-1G-P
• SM-ES2 SKUs
• SM-ES3 SKUs
• SM-X-ES3 SKUs

        不(&♥bù)受影(yǐng)響系統及應用(yòng)版本

1. 手工(gōng)關閉了(le)Cisco Smart Instalσ™♠εl管理(lǐ)協議(yì)，或模式為(wèi)Dire€ ctor模式的(de)Cisco設備均不(bù)受影(yǐng¥×¶)響。(注：所有(yǒu)相(xiàng)關産品在± γ出廠(chǎng)時(shí)默認開(kāi)啓了(  ☆×le)該項功能(néng))
2. 具備以下(xià)軟件(jiàn)版本的(de)設備不(bù÷¶ δ)在影(yǐng)響範圍之內(nèi)：

• Catalyst 2960系列交換機(jī)：15≈ δ.2(2)E8,15.2(4)E6,15.2(6)E1及後續發>​布的(de)IOS版本
• Catalyst 3560/3750系列交換機(jī) ✔：15.2(4)E6及後續發布的(de)IOS版本
• Catalyst 3650/3850系列交換機(jī)：16.3.6，∑π ↓3.6.8E及後續發布的(de)IOS-XE版本
• Catalyst 4500系列交換機(jī)：3.6.8E及後續發布的 ≠σ(de)IOS-XE版本
• Catalyst65 Supervisor Eng>€↕£ine 2T-10GE：15.2(1)SY6及ε£↕後續發布的(de)IOS版本
• IE系列交換機(jī)：15.5(1)SY1及後續發布的(de)I±βOS版本
• ME系列交換機(jī)：12.2(60)EZ12及後續發布的(de)'∞IOS版本

漏洞檢測

       對(du≤€‍ì)于可(kě)能(néng)存在“Cisco Smart Install<​ε•遠(yuǎn)程命令執行(xíng)”漏洞的(de)設備，思科(kē)÷"≥提供如(rú)下(xià)的(de)檢查方法，快(kuài)速定位使用(y×♦∏✘òng)設備是(shì)否存在該項漏洞。
      方法一(yī)：通(∑>σtōng)過命令行(xíng)命令确認Smart Instγ$all Client功能(néng)是(shì)×★否開(kāi)啓
     →✘¥₽ 在設備的(de)命令行(xíng)輸入命令可(kě)以直接檢查Smar≈< t Install Client功能(néng)是(shì)否開(k$£āi)啓，命令執行(xíng)結果如(rú)♣α下(xià)所示：

     switch>show vstaαΩ>≥ck config | inc Role
     ≤©&¶Role: Client (SmartInstall πφ© enabled)

     方法二：通(✘∞tōng)過命令行(xíng)命令确認Smart Install Cl$♣ient所使用(yòng)的(de)TCP端口是(sh ₹ì)否激活
      對(duì)于部分(fē© n)軟件(jiàn)版本過于陳舊(jiù)的(de)設備，命令行(xíσ±σ↑ng)不(bù)支持“vstack”相(xiàng)關命令，但(dàn)也(y ∑σ≠ě)可(kě)能(néng)存在該功能(néng)漏洞，可(k♣βě)以通(tōng)過直接檢查TCP端口4786✘'¶'是(shì)否激活的(de)方式，用(yòng)于确認是(shì)否可(kě)<↓能(néng)存在該漏洞，命令執行(xíng)結果如(rú)下(xβ​≈ià)所示：
switch>show tcp brief all
TCB       Local A ₽ddress    ₽★→        Fo≈≠πreign Address       &nb↓≤sp;     (state)
05FD9F98  0.0.0.0.478<↕6           ₽¶♣    *.*     ♥"         ♠ β‌;       ≠¶≥    LISTEN
0568FFFC  0.0.0.0.443 &≥Ωε®nbsp;     &γσγ∏nbsp;       π→£ *.*      ₩∑;        ε✔α≤        ₩φ;   LISTEN
0568F038  0.0.0.0.443 &n÷★bsp;         &nbs ≥p;    *.* &nb$Ωsp;           σ£≈        &nb<✘§♥sp;   LISTEN
0568E428  0.0.0.0.80   &nbs♥"←αp;       &nbs♥✔©p;     *.* &nb★δ"​sp;         &n€§bsp;          ≤✘§Ω   LISTEN
0568D818  0.0.0.0.80 &♥¥•≤nbsp;     €™          *.*σ♣✔       ∏≠        &nb♠δ§✘sp;         ✘♥÷•LISTEN

通(tōng)過以上(shàng)兩種方法，可(kě)以快(kuài)速♣¶★定位設備是(shì)否存在該項漏洞，或是(shì)Cisco Sma£✔rt Install Client功能(néng)是(shì)否§ππ≈處于激活狀态。

漏洞修複

    對(duì)于可(kě)能(néng)‌↔存在“Cisco Smart Install遠(y÷"φ÷uǎn)程命令執行(xíng)”漏洞的(de)設備，思科(k§§Ω♠ē)提供如(rú)下(xià)的(de)技(jì)術(sh•&βù)手段，規避該漏洞所帶來(lái)的(de)風≤®α(fēng)險。
    方法一(yī)：将設¥©™備軟件(jiàn)升級到(dào)最新軟件(jiàn)版本
通(tōng)過升級設備所使用(yòng)的(de)軟件(jiàn)版 ✔本，可(kě)以修複設備的(de)該漏洞，所需的(de)軟件(jiànα≠©)版本，可(kě)在Cisco IOS S≤↔oftware Checker網站(zhàn)上(shàng)進行(✔ $xíng)查詢，也(yě)可(kě)以聯系思科•₹≠(kē)代理(lǐ)商或是(shì)思科(kē)公司獲取相(xiàn∞∑δ​g)關的(de)軟件(jiàn)。

    方法二：關閉“Smart In₽©¥stall Client”功能(néng)
升級設備軟件(jiàn)，會(huì)導緻設備的(de)重新啓動α<，可(kě)能(néng)會(huì)影(yǐng)響到(↑§ dào)網絡的(de)使用(yòng)，♥↕€如(rú)果需要(yào)暫時(shí)性的(de)規避★λ該漏洞所帶來(lái)的(de)風(fēng)險，可(kπ≠©ě)以采用(yòng)手工(gōng)關閉“Sm♠ art Install Client”的(de)功能(néng)☆©∑的(de)方法，在線的(de)規避風(fēng)險，關 ™←閉該功能(néng)的(de)命令及運行(xí↓δ¥≈ng)結果如(rú)下(xià)所示：
switch(config)#no vst'☆&ack
switch#show vstack config | i↓♠"nc Role
 Role: Client (SmartInstall disabl&≤‌ed)

     方法三：設備不(bù)☆✘支持“no vstack”命令
部分(fēn)軟件(jiàn)版本過于陳‌±舊(jiù)的(de)設備，可(kě)能(néng)不(bù)支持“λ↓×♥no vstack”命令，如(rú)果檢查出該設備具₽✔有(yǒu)該漏洞，可(kě)以通(tōng)過手工®×÷(gōng)部署ACL的(de)方法，規避風(fēng)險。使用(yòng)∏©¶的(de)命令如(rú)下(xià)所示：
ip access-list extended£ελ SMI_HARDENING_LIST
    deny tcp any any eq 47&<86
    permit ip any any
interface GigabitEthαΩ‍→ernet0/0
 ip access-group SMI_HARDEN←↓ING_LIST in

    方法四：需要(yào)使用Ω×♣(yòng)SMART Install Cl&™‌ient功能(néng)場(chǎng)景，但(dàn)無法升±✘↔級軟件(jiàn)版本
在部分(fēn)場(chǎng)景，需要(yào)使用(y₽φ×★òng)Smart Install Cliδ"¶♥ent的(de)功能(néng)，但(dàn)由于無法升級軟件(jiàn)，π∞α可(kě)通(tōng)過對(duì)TCP端口478€¥₩6進行(xíng)訪問(wèn)控制(zhì)，僅∑φ∏γ允許Smart Install Directo±₩r和(hé)Smart Install Client進行(xíng)通(tōn¶₩•g)信，避免惡意攻擊。使用(yòng)的(de)命令如(rú)下(xià±£™)所示：
ip access-list extended SMI_HARDENING≈©→≠_LIST
    permit tcp host 10.10.1÷€0.1 host 10.10.10.200 eq 478↔∞6
    deny tcp any any e¥∞q 4786
    permit ip any any
interface GigabitEthernet0/0
 ip access-grou£₽£p SMI_HARDENING_LIST in

以上(shàng)方法均無法執行(xíng)，可(kě)以聯系思科(kē♥ α¥)公司