IT001

2018年_思科爆重大遠端程式碼執行漏洞

相關連結新聞：https://www.ithome.com.tw/news/122174

新聞中有提到Smart Install是方便新交換機部署的組態及映像檔管理功能，

這個功能再大量佈署Cisco Switch的時候相當方便。

相關資訊可以參考：

https://www.slideshare.net/AlexanderYevstigneye/cisco-smart-install-research

派發重點:

透過DHCP Server 取得IP。

透過TFTP Server 儲存IOS環境&設定檔。

最終透過Director<導向器>蒐集Cisco Switch相關資料後佈署

(只要設備支援Client就可以接受Director的佈署)。

受影響的設備如下：

https://www.cisco.com/c/en/us/td/docs/switches/lan/smart_install/configuration/guide/smart_install/supported_devices.html

就Cisco Catalyst 2960 來說，在2009/01/10後出廠，

Cisco IOS Release12.2(52)SE(Software Releases)之後版本都會被影響。

影響範圍有提到Can be Director / Can be Client ?

這部份是指哪些設備可以當派發器/哪些可以當被派發者。

派發流程大概分成下列程序

Step1. 新Cisco設備(支援Smart Install Client功能)加入擁有Director的網域中。

Step2. Director會去找自己的資料庫，確認一下Client是否在Configure Group。

Step3. Director是否擁有這個設備所要的設定，或者預設的設定檔案。

NO >>> 結束

YES >>> Step4

Step4. 檢查Client “Join Window”是不是Open

Join Window 代表為可以派發的時段。

Open代表隨時隨地可以派發(24Hr)

YES >>> 直接幫Cisco 設備進行佈署。

NO >>> 等待Client自己排定的時間再進行佈署。

到這邊我們應該要先確定一下，我們的設備有沒有支援 Smart Install

最簡單的方就是看有沒有指令就知道。

# show vstack config

//只要沒有vstack就不支援。

有支援的話就會像下方設定一樣。

Role: Client (SmartInstall enabled) 表示Client服務是開著的。

Vstack Director IP 預設為0.0.0.0。

Join Window Details: Window : (open) 表示隨時可以佈署。

這些設定都是在設備出廠時就開啟的。

或者出現下方狀況也算是開啟的狀態。

switch # show vstack config

Capability: Client

Oper Mode: Enabled

Role: Client

因為這次檢測發現這個功能有漏洞產生，所以會建議佈署完將他進行關閉。

#vstack ?

可以看到如何操作。

關閉Smart Install服務

#no vstack

再次檢查時，這個功能已經關閉。

或者參照Cisco官方的操作將漏洞補齊來。

有興趣操作的話，可以參考相關資訊。

附帶一提，佈署所使用的Port是TCP-4786。

參考網址：

https://www.cisco.com/c/en/us/td/docs/switches/lan/smart_install/configuration/guide/smart_install/supported_devices.html

https://www.xuehua.us/2018/04/09/%E4%B8%89%E7%A7%8D%E6%96%B9%E6%B3%95%E4%BF%AE%E5%A4%8Dcisco-smart-install%E6%BC%8F%E6%B4%9E/zh-tw/

https://www.nccst.nat.gov.tw/VulnerabilityDetail?lang=zh&seq=1083