2018年3月28日,Cisco官方发布了CiscoIOS和IOS XE软件存在多个远程代码执行漏洞的安全公告,其中有一个Smart Install远程代码执行漏洞,对应CVE编号:CVE-2018-0171。攻击者可以在未授权的情况下通过重新加载(reload)设备造成拒绝服务条件或者远程执行代码。
漏洞自查方法
方法一:已采购明鉴远程安全评估系统的用户可以通过该产品进行扫描自查
方法二:联系安恒信息官网人工客服索取免费自查漏洞检测工具,该工具除了可以自查设备是否受影响,还可以验证性对设备进行渗透测试,正在运行的业务设备需谨慎勾选该功能。
方法三:通过CiscoSecurity提供的Cisco IOS软件检查器,企业用户可以自行提交Cisco IOS和IOS XE软件版本号来查验是否存在漏洞或需要安全更新:
https://tools.cisco.com/security/center/softwarechecker.x
漏洞修复方法
方法一:打补丁,思科官方暂时未提供补丁链接
方法二:不能打补丁前临时停用Smart Install功能,使用no vstack命令,示例:
switch1#conf t
switch1(config)#novstack
switch1(config)#dowr
当停止功能后,再次查看状态:
switch# showvstack config
Role: Client(SmartInstall disabled)
Vstack Director IPaddress: 0.0.0.0
显示disabled即停用。
方法三:当业务需要用到此服务时,配置ACL,限定白名单的设备可访问4786端口,命令参考如下:
ip access-list extended yunxusmi
permit tcp host 10.10.10.1 host10.10.10.200 eq 4786
deny tcp any any eq 4786
permit ip any any
方法四:直接在防火墙上做ACL拒绝任何IP访问影响设备的4786端口,或允许指定IP访问4786端口。
