threatBook微步情报局
IOC 24

threatBookthreatBook

扫描攻击思科IP
【微步在线情报通报】思科交换机Smart Install Client高危漏洞正在被大范围利用
微步情报局
2018-04-11 19:25:40ThreatBook2067
+ 关注

编号: TB-2018-0002                                                                       

报告置信度:90

TAG:思科、漏洞、CVE-2016-1349、CVE-2018-0171、Cisco Smart Install Protocol Misuse、Dragonfly

TLP: 白 (可公开)

日期: 2018-04-10

摘  要

  近日,微步在线监测到大量开启Smart Install 功能且暴露在公网的思科交换机遭遇了大范围的攻击,被攻击的交换机的startup-config配置文件被清空或者改写,同时设备会重启造成网络中断。此外,有国家背景的高危APT组织利用Smart Install 功能对国家关键基础设施进行定向攻击,危害极大。我们强烈建议使用思科交换机且启用Smart Install功能的客户尽快关闭该功能,具体请参考本文“行动建议”部分。我们的主要发现如下:

+ 根据思科官方的披露,自2011年以来,思科Smart Install功能曾经被爆出多个高危漏洞,典型漏洞包括CVE-2016-1349和CVE-2018-0171以及Cisco Smart Install 协议滥用缺陷。其中Cisco Smart Install 协议滥用缺陷允许未经身份验证的远程攻击者更改startup-config文件并强制重新加载设备,在设备上加载新的IOS镜像,并在运行Cisco IOS和IOS XE软件的交换机上执行高权限CLI命令。

+ 根据思科官方通告和部分媒体报道,目前已经监测发现针对思科Smart Install功能的大范围攻击,大部分被攻击设备位于俄罗斯和伊朗。与此同时,微步在线也监测到位于国内的思科交换机也存在被攻击的现象。因此,建议国内用户引起高度重视。

+ 根据微步在线的监测数据,目前全球约有16万的高风险设备暴露在公网,主要分布在美国、俄罗斯、中国和日本等地,其中我国大约存在1万高风险设备。

+ 据思科官方以及US-Cert的分析,俄罗斯黑客组织Dragonfly[1]曾利用Cisco Smart Install协议滥用缺陷攻击美国的能源等关键基础设施。该攻击手法很可能会被其他APT攻击组织效仿。

+ 微步在线经过密切的跟踪分析,提取了相关活跃攻击IP 24个,可以结合内部相关日志确认是否受到影响,具体IOC请参见附录。

详  情

  Cisco Smart Install协议为思科交换机提供配置和图像管理功能,使用DHCP、TFTP和专有TCP协议帮助企业部署运行交换机。使用Smart Install的网络包含一组被称为Clients的网络设备,由一个通用的第三层交换机作为Director来提供服务,Smart Install Client默认在TCP 4786端口上开启服务。


  自发布以来,Smart Install被爆出多个高危漏洞,主要包含拒绝服务和远程代码执行漏洞,其中危害较大的漏洞有CVE-2016-1349和CVE-2018-0171。此外,Smart Install设计时未考虑身份验证,滥用该协议允许未经身份验证的远程攻击者更改startup-config文件并强制重新加载设备,在设备上加载新的IOS镜像,并在运行Cisco IOS和IOS XE软件的交换机上执行高权限CLI命令。


  Smart Install协议滥用、CVE-2016-1349和CVE-2018-0171的相关对比如下:

滥用和漏洞 相关描述和危害 影响(Client/Director) 公开时间
Cisco Smart Install Protocol Misuse 重载,加载新的IOS镜像,执行高权限CLI命令 Client 2017/02/14
CVE-2018-0171 重载,拒绝服务,远程代码执行 Client 2018/03/28
CVE-2016-1349 拒绝服务 Client 2016/03/23

  近年来针对思科Smart Install的相关研究和报道如下:

  - 在2016年11月17日至18日举行的ZeroNights黑客大会上,研究者Alexander Evstigneev和Dmitry Kuznetzov发布了关于Cisco Smart Install的研究,并公开了相关攻击程序SIET,详见附录。根据SIET的使用说明,其具备获取设备配置、更改配置、更新设备IOS和在设备的控制台执行命令等功能。

  - 2017年2月14日,思科发布了关于滥用Smart Install协议的安全通告,指出Smart Install存在设计缺陷,但未对该问题进行修复,只是建议关闭Smart Install功能或限制4786端口的通信。

  - 2017年5月,Embedi安全公司研究员、俄罗斯白帽黑客George Nosenko在GeekPwn黑客大会上演示了一个思科交换机Smart Install的缓冲区堆栈溢出漏洞,通过向Cisco设备的TCP 4786端口发送精心构造的恶意数据包,触发漏洞实现远程代码执行和拒绝服务。该漏洞的CVE编号为CVE-2018-0171,Embedi已公布PoC,相关PoC见附录。

  - 2018年3月28日,思科发布了关于Cisco IOS和Cisco IOS XE系统的安全通告,介绍了相关的22个漏洞,其中有三个漏洞等级为严重,分别为CVE-2018-0150、CVE-2018-0151和CVE-2018-0171,其余漏洞等级为高,其中CVE-2018-0171与Smart Install有关。

  - 2018年4月5日,思科Talos报告了Smart Install滥用问题,指出俄罗斯背景的黑客组织Dragonfly曾滥用Smart Install攻击美国的能源等关键基础设施。此外,Talos称,目前约有16.8万相关设备暴露在公网,可能遭到攻击。自思科披露Smart Install滥用以来,一直存在断断续续的扫描,但在2017年11月9日和2018年4月初观测到扫描的急剧增加。

  - 2018年4月7日前后,国内外多家安全厂商和媒体发布相关报告,报告了最近针对Cisco Smart Install的相关攻击事件。比如,外媒报道一个名为“JHT”的黑客组织利用CVE-2018-0171漏洞攻击了俄罗斯和伊朗的网络基础设施,造成设备重启导致网络中断。JHT覆盖了Cisco交换机的配置文件startup-config,并留言“Don't mess with our elections.... -JHTusafreedom_jht@tutanota.com”。此外,在国内也发现了针对Cisco Smart Install的相关攻击,受害现象为startup-config配置文件被清空,造成设备重启导致断网。

  - 2018年4月9日,思科再次发布安全通告,建议采取措施保护Cisco IOS和Cisco IOS XE的Smart Install。

 

影响范围

所有系统为Cisco IOS或Cisco IOS XE,并启用Smart Install功能的思科交换机。

检测措施

 通过运行命令确认是否受影响:

1、 运行show vstack config |include Role命令,如输出结果显示Role: Client (SmartInstall enabled)则表示受影响,建议进行修复。此外,也可以运行show vstack config命令,如输出结果包含per Mode: Enabled则表示受影响。

2、 使用Cisco提供的smi_check.py脚本进行检查。

      地址:https://github.com/Cisco-Talos/smi_check

3、 使用在线的CiscoIOS软件检查器,确定特定版本的Cisco IOS和IOSXE的安全影响评级。

      地址:https://tools.cisco.com/security/center/softwarechecker.x

行动建议

- 鉴于Cisco Smart Install协议本身存在缺陷,建议通过运行no vstack命令禁用该功能。如需使用Smart Install,建议不要将相关设备暴露在公网,并且在使用之后进行关闭。

- 受Smart Install漏洞影响的Cisco IOS和IOS XE系统还包含其他漏洞,建议通过更新软件进行修复。

扫描4786端口的IP

见IOC列表


展开全部ThreatBook

威胁指标(IOC)

IP端口域名样本标签
5.188.10.2421053
5.188.87.80001
5.188.87.90001
77.72.82.1350000
77.72.82.1580000
查看全部24threatBook
4

评论

ThreatBook
匿名用户
2018-05-22 16:04:18
threatBook0
还有这种操作?
匿名用户
2018-05-21 16:18:04
threatBook0
不错
匿名用户
2018-05-21 16:12:00
threatBook0
姿势可以
匿名用户
2018-05-21 16:10:37
threatBook0
姿势可以
匿名用户
2018-05-21 16:07:53
threatBook0
学习学习1
h0st
2018-05-21 16:07:21
threatBook0
新姿势学习下。。。
匿名用户
2018-05-21 16:06:33
threatBook0
学习学习
匿名用户
2018-05-21 16:04:45
threatBook0
厉害了
匿名用户
2018-05-21 15:57:08
threatBook0
学习个
匿名用户
2018-05-21 15:50:18
threatBook0
niupi 1
匿名用户
2018-05-21 15:49:20
threatBook0
niupi
匿名用户
2018-05-21 15:48:05
threatBook0
77777
匿名用户
2018-05-21 15:47:00
threatBook0
666
匿名用户
2018-05-21 15:45:41
threatBook0
666
匿名用户
2018-05-21 15:44:36
threatBook0
666
291824029
2018-04-21 15:47:29
threatBook0
111
已经到底了,没有更多内容了