思科漏洞:CVE-2018-0171漏洞详情

4月9日讯 2018年3月末曝光的一个思科高危漏洞CVE-2018-0171在清明小长假期间被黑客利用发动攻击，国内多家机构中招，配置文件被清空，安全设备形同虚设。此漏洞影响底层网络设备，且漏洞 PoC 已公开，很有可能构成重大威胁。

CVE-2018-0171漏洞详情

思科3月28日发布安全公告指出，思科 IOS 和 IOS-XE 软件 Smart Install Client （开启了Cisco Smart Install管理协议，且模式为client模式）存在远程代码执行漏洞CVE-2018-0171，CVSS 评分高达9.8分（总分10分）。攻击者可远程向TCP 4786端口发送恶意数据包，触发目标设备的栈溢出漏洞造成设备拒绝服务（DoS）或远程执行任意代码。

2018年3月29日，我国国家信息安全漏洞共享平台（简称 CNVD）收录了该漏洞，编号为CNVD-2018-06774。 CNVD对该 漏洞的描述为：

Smart Install 作为一项即插即用配置和镜像管理功能，为新加入网络的交换机提供零配置部署，实现了自动化初始配置和操作系统镜像加载的过程，同时还提供配置文件的备份功能。Cisco Smart Install 存在远程命令执行漏洞，攻击者无需用户验证即可向远端Cisco 设备的 TCP 4786 端口发送精心构造的恶意数据包，触发漏洞让设备远程执行 Cisco 系统命令或拒绝服务（DoS）。

据 CNVD 发布的公告显示，全球 Cisco Smart Install系统规模为14.3万；按国家分布情况来看，用户量排名前三的分别是美国（29%）、中国（11%）和日本（6%）。

确认受影响的设备：

Catalyst 4500 Supervisor Engines；Cisco Catalyst 3850 Series Switches；Cisco Catalyst 2960 Series Switches。

以下包含 Smart Install Client 的设备可能受漏洞影响：

Catalyst 4500 Supervisor Engines；Catalyst 3850 Series；Catalyst 3750 Series；Catalyst 3650 Series；Catalyst 3560 Series；Catalyst 2960 Series；Catalyst 2975 Series；

IE 2000；IE 3000；IE 3010；IE 4000；IE 4010；IE 5000；

SM-ES2 SKUs；SM-ES3 SKUs；NME-16ES-1G-P；SM-X-ES3 SKUs。

全球20多万台路由器受到影响

最初，研究人员认为，该漏洞只能被同网络中的黑客利用。

2018年4月5日，思科 Talos 团队发博文称，发现黑客利用该漏洞攻击关键基础设施。该团队通过搜索引擎 Shodan 发现，约有250,000个易受攻击的思科设备打开了TCP端口4786，潜在暴露的系统约16.8万个。在思科发布漏洞预警时，其研究人员在第一时间识别出大约有850万台设备使用了此端口，但无法确定这些系统上是否存在 Smart Install 功能。

伊朗、俄罗斯率先遭到攻击

2018年4月6日，黑客组织“JHT”利用思科的 Smart Install 安全漏洞 CVE-2018-0171 率先攻击了俄罗斯和伊朗的计算机基础设施，影响了互联网服务提供商、数据中心以及若干网站。黑客利用该漏洞将路由器重置为默认配置，并向受害者显示信息。

攻击者利用该漏洞对思科服务器发起攻击。随后，路由器的配置文件“startup-config”被重写，路由器重启，进而导致网络中断。除此之外，管理员还发现了路由器的 startup-config 文件被篡改为警告消息：“不要干扰我们的选举…-JHT”。除了禁用设备及让设备瘫痪，该组织还留下了一张美国国旗的图片。

Talos 团队认为，这起攻击与美国计算机应急响应小组2018年3月发布的警告（称俄罗斯政府瞄准能源和其它关键基础设施行业）有关。据推测，这正是该黑客组织为此做出的回应。攻击者表示，他们只是想传递信息。专家推测，这次大范围的网络攻击很可能是由民间黑客组织发起，以此来表示对俄罗斯干涉美国大选的不满。

黑客组织“JHT”向媒体透露，他们扫描了许多国家易遭受攻击的系统，但只将目标对准俄罗斯和伊朗的路由器。该黑客组织还表示其通过发出“no vstack”命令修复了在美国和英国路由器上发现的 Smart Install 安全漏洞。

受到攻击的路由器的启动配置

中国受影响设备约1.4万台

据路透社报道，伊朗通信与信息技术部表示，全球有20多万台路由器受到影响：

伊朗：3500台；

美国：5.5万台；

中国：1.4万台。

伊朗通信与信息技术部部长 Mohammad Javad Azari-Jahromi 在推特上表示，美国东部时间2018年4月6日下午1:12，伊朗95%受影响的路由器已恢复正常服务。伊朗IT部长穆罕默德•贾瓦德•阿扎里•贾赫罗米表示，攻击主要影响的是欧洲、印度和美国。

然而，2018年4月8日，中国多个机构也遭到了类似的攻击。

如何自查？

远程自查：

方法一：确认目标设备是否开启4786/TCP端口，如果开启则表示可能受到影响。比如用nmap扫描目标设备端口：nmap -p T:4786 192.168.1.254

方法二：使用Cisco提供的脚本探测是否开放Cisco Smart Install协议，若开启则可能受到影响。# python smi_check.py -i 192.168.1.254[INFO] Sending TCP probe to targetip:4786[INFO] Smart Install Client feature active on targetip:4786[INFO] targetip is affected。

本地自查（需登录设备）：

方法三：可以通过以下命令确认是否开启 Smart Install Client 功能：switch>show vstack configRole: Client (SmartInstall enabled)Vstack Director IP address: 0.0.0.0switch>show tcp brief allTCB Local Address Foreign Address (state)0344B794 *.4786 *.* LISTEN0350A018 *.443 *.* LISTEN03293634 *.443 *.* LISTEN03292D9C *.80 *.* LISTEN03292504 *.80 *.* LISTEN

方法四：switch>show version将回显内容保存在a.txt中，并上传至Cisco的Cisco IOS Software Checker进行检测。检测地址：https://tools.cisco.com/security/center/softwarechecker.x

临时处置措施（关闭协议） 

switch#conf tswitch(config)#no vstackswitch(config)#do wrswitch(config)#exit

检查端口已经关掉：

switch>show tcp brief allTCB Local Address Foreign Address (state)0350A018 *.443 *.* LISTEN03293634 *.443 *.* LISTEN03292D9C *.80 *.* LISTEN03292504 *.80 *.* LISTEN