4月9日訊 2018年3月末曝光的一個思科高危漏洞CVE-2018-0171在清明小長假期間被黑客利用發動攻擊，國內多家機構中招，配置文件被清空，安全設備形同虛設。此漏洞影響底層網絡設備，且漏洞 PoC 已公開，很有可能構成重大威脅。

CVE-2018-0171漏洞詳情

思科3月28日發布安全公告指出，思科 IOS 和 IOS-XE 軟件 Smart Install Client （開啟了Cisco Smart Install管理協議，且模式為client模式）存在遠程代碼執行漏洞CVE-2018-0171，CVSS 評分高達9.8分（總分10分）。攻擊者可遠程向TCP 4786端口發送惡意數據包，觸發目標設備的棧溢出漏洞造成設備拒絕服務（DoS）或遠程執行任意代碼。

2018年3月29日，我國國家信息安全漏洞共享平臺（簡稱 CNVD）收錄了該漏洞，編號為CNVD-2018-06774。 CNVD對該 漏洞的描述為：

Smart Install 作為一項即插即用配置和鏡像管理功能，為新加入網絡的交換機提供零配置部署，實現了自動化初始配置和操作系統鏡像加載的過程，同時還提供配置文件的備份功能。Cisco Smart Install 存在遠程命令執行漏洞，攻擊者無需用戶驗證即可向遠端Cisco 設備的 TCP 4786 端口發送精心構造的惡意數據包，觸發漏洞讓設備遠程執行 Cisco 系統命令或拒絕服務（DoS）。

據 CNVD 發布的公告顯示，全球 Cisco Smart Install系統規模為14.3萬；按國家分布情況來看，用戶量排名前三的分別是美國（29%）、中國（11%）和日本（6%）。

確認受影響的設備：

Catalyst 4500 Supervisor Engines；Cisco Catalyst 3850 Series Switches；Cisco Catalyst 2960 Series Switches。

以下包含 Smart Install Client 的設備可能受漏洞影響：

Catalyst 4500 Supervisor Engines；Catalyst 3850 Series；Catalyst 3750 Series；Catalyst 3650 Series；Catalyst 3560 Series；Catalyst 2960 Series；Catalyst 2975 Series；

IE 2000；IE 3000；IE 3010；IE 4000；IE 4010；IE 5000；

SM-ES2 SKUs；SM-ES3 SKUs；NME-16ES-1G-P；SM-X-ES3 SKUs。

全球20多萬臺路由器受到影響

最初，研究人員認為，該漏洞只能被同網絡中的黑客利用。

2018年4月5日，思科 Talos 團隊發博文稱，發現黑客利用該漏洞攻擊關鍵基礎設施。該團隊通過搜索引擎 Shodan 發現，約有250,000個易受攻擊的思科設備打開了TCP端口4786，潛在暴露的系統約16.8萬個。在思科發布漏洞預警時，其研究人員在第一時間識別出大約有850萬臺設備使用了此端口，但無法確定這些系統上是否存在 Smart Install 功能。

伊朗、俄羅斯率先遭到攻擊

2018年4月6日，黑客組織“JHT”利用思科的 Smart Install 安全漏洞 CVE-2018-0171 率先攻擊了俄羅斯和伊朗的計算機基礎設施，影響了互聯網服務提供商、數據中心以及若干網站。黑客利用該漏洞將路由器重置為默認配置，并向受害者顯示信息。

攻擊者利用該漏洞對思科服務器發起攻擊。隨后，路由器的配置文件“startup-config”被重寫，路由器重啟，進而導致網絡中斷。除此之外，管理員還發現了路由器的 startup-config 文件被篡改為警告消息：“不要干擾我們的選舉…-JHT”。除了禁用設備及讓設備癱瘓，該組織還留下了一張美國國旗的圖片。

Talos 團隊認為，這起攻擊與美國計算機應急響應小組2018年3月發布的警告（稱俄羅斯政府瞄準能源和其它關鍵基礎設施行業）有關。據推測，這正是該黑客組織為此做出的回應。攻擊者表示，他們只是想傳遞信息。專家推測，這次大范圍的網絡攻擊很可能是由民間黑客組織發起，以此來表示對俄羅斯干涉美國大選的不滿。

黑客組織“JHT”向媒體透露，他們掃描了許多國家易遭受攻擊的系統，但只將目標對準俄羅斯和伊朗的路由器。該黑客組織還表示其通過發出“no vstack”命令修復了在美國和英國路由器上發現的 Smart Install 安全漏洞。

受到攻擊的路由器的啟動配置

中國受影響設備約1.4萬臺

據路透社報道，伊朗通信與信息技術部表示，全球有20多萬臺路由器受到影響：

伊朗：3500臺；

美國：5.5萬臺；

中國：1.4萬臺。

伊朗通信與信息技術部部長 Mohammad Javad Azari-Jahromi 在推特上表示，美國東部時間2018年4月6日下午1:12，伊朗95%受影響的路由器已恢復正常服務。伊朗IT部長穆罕默德?賈瓦德?阿扎里?賈赫羅米表示，攻擊主要影響的是歐洲、印度和美國。

然而，2018年4月8日，中國多個機構也遭到了類似的攻擊。

如何自查？

遠程自查：

方法一：確認目標設備是否開啟4786/TCP端口，如果開啟則表示可能受到影響。比如用nmap掃描目標設備端口：nmap -p T:4786 192.168.1.254

方法二：使用Cisco提供的腳本探測是否開放Cisco Smart Install協議，若開啟則可能受到影響。# python smi_check.py -i 192.168.1.254[INFO] Sending TCP probe to targetip:4786[INFO] Smart Install Client feature active on targetip:4786[INFO] targetip is affected。

本地自查（需登錄設備）：

方法三：可以通過以下命令確認是否開啟 Smart Install Client 功能：switch>show vstack configRole: Client (SmartInstall enabled)Vstack Director IP address: 0.0.0.0switch>show tcp brief allTCB Local Address Foreign Address (state)0344B794 *.4786 *.* LISTEN0350A018 *.443 *.* LISTEN03293634 *.443 *.* LISTEN03292D9C *.80 *.* LISTEN03292504 *.80 *.* LISTEN

方法四：switch>show version將回顯內容保存在a.txt中，并上傳至Cisco的Cisco IOS Software Checker進行檢測。檢測地址：https://tools.cisco.com/security/center/softwarechecker.x

臨時處置措施（關閉協議）

switch#conf tswitch(config)#no vstackswitch(config)#do wrswitch(config)#exit

檢查端口已經關掉：

switch>show tcp brief allTCB Local Address Foreign Address (state)0350A018 *.443 *.* LISTEN03293634 *.443 *.* LISTEN03292D9C *.80 *.* LISTEN03292504 *.80 *.* LISTEN