发布日期：2018-03-28
更新日期：2018-04-10

受影响系统：

Cisco IOS 15.2(5)E
Cisco IOS XE

描述：

---

BUGTRAQ  ID: 103538
CVE(CAN) ID: CVE-2018-0171

Cisco IOS是多数思科系统路由器和网络交换机上使用的互联网络操作系统。Smart Install是为新的LAN以太网交换机提供零触摸部署的即插即用配置和图形管理功能。

Cisco IOS以及IOS XE软件被发现存在一个严重远程代码执行漏洞。攻击者可以在未授权的情况下通过重新加载设备造成拒绝服务条件或者远程执行代码，导致设备瘫痪，同时配置文件被修改。该漏洞影响所有运行Cisco IOS或IOS XE软件并且开启了智能安装（Smart Install）特性的设备。

目前已知受影响设备/软件为：
确认受影响的设备型号：
Catalyst 4500 Supervisor Engines
Cisco Catalyst 3850 Series Switches
Cisco Catalyst 2960 Series Switches
可能受影响的设备型号：
Catalyst 4500 Supervisor Engines
Catalyst 3850 Series
Catalyst 3750 Series
Catalyst 3650 Series
Catalyst 3560 Series
Catalyst 2960 Series
Catalyst 2975 Series
IE 2000
IE 3000
IE 3010
IE 4000
IE 4010
IE 5000
SM-ES2 SKUs
SM-ES3 SKUs
NME-16ES-1G-P
SM-X-ES3 SKUs

<*来源：vendor
  
  链接：https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

*请相关企业评估是否需要Smart Install服务，如果确定不需要，可依次输入如下命令可关闭服务：
switch#conf t
switch(config)#no vstack
switch(config)#do wr
switch(config)#exit

Cisco针对Smart Install功能提供了以下针对性的安全建议。
1. 禁用Smart Install功能
通过show vstack命令查看Smart Install功能的状态，被禁用时的显示如下图所示：

2. 当使用Smart Install功能且只用于零触摸部署时，安全建议如下部署完成后，使用no vstack命令禁用Smart Install功能；
对于不支持vstack命令的设备（低于Cisco IOS Release 12.2(55)SE02版本），在交换机上通过配置ACL阻断4786端口访问的方式进行防护。

3. 当业务运行需要使用Smart Install功能时，安全建议如下配置ACL，限定白名单的设备可访问4786端口，参考如下：
       ip access-list extended SMI_HARDENING_LIST
       permit tcp host 10.10.10.1 host 10.10.10.200 eq 4786
       deny tcp any any eq 4786
       permit ip any any

厂商补丁：

Cisco
-----
Cisco已经为此发布了一个安全公告（cisco-sa-20180328-smi2）以及相应补丁:
cisco-sa-20180328-smi2：Cisco IOS and IOS XE Software Smart Install Remote Code Execution Vulnerability
链接：https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2

浏览次数：2150
严重程度：0（网友投票）