Skip to content


Критическая уязвимость в Cisco IOS и IOS XE в функциональности Smart Install

На конкурсе GeekPWN 2017 13 мая 2017 продемонстирировали эпичную уязивомсть в Smart Install Client, позволяющую получить получить доступ к устройству без прохождения аутентификации:

Smart Install – это plug-and-play функциональность для конфигурации и управления, которая обеспечивает быстрое развертывание новых устройств, автоматизируя процесс начальной конфигурации и загрузки образа операционной системы для нового коммутатора. То есть можно просто установить несконфигурированный коммутатор, подключить питание и всё. Данная технология также предоставляет возможность бекапа конфигураций. Сеть, использующая Smart Install включает в себя группу сетевых устройств в роли клиентов, которая обслуживаетя общим director-ом.

Smart Install Client запускает сервер на TCP-порту 4786 для взаимодействия со Smart Install Director. By design требуется, чтобы порт был открыт по умолчанию. Уязвимость связана c переполнением стека в коде Smart Install Client. Путем отправки специально оформленного сообщения ibd_init_discovery_msg на TCP-порт 4786 и можно получить доступ.

Если обновить софт возможности и/или желания нет, можно использовать простой workaround, просто отключив smart install. Под рукой как раз был такой дырявый Cisco Catalyst 3750G, решил на нем проверить.

Как видим, упомнятый порт у него открыт:

  1. $ nmap -p T:4786 10.10.10.2
  2.  
  3. Starting Nmap 7.60 ( https://nmap.org ) at 2018-04-06 11:26 EEST
  4. Nmap scan report for 10.10.10.2
  5. Host is up (0.14s latency).
  6.  
  7. PORT     STATE SERVICE
  8. 4786/tcp open  smart-install
  9.  
  10. Nmap done: 1 IP address (1 host up) scanned in 0.37 seconds

Идем на коммутатор, смотрим включена ли фича:

  1. sw1#show version | inc Model number  
  2. Model number                    : WS-C3750G-24TS-E
  3.  
  4. sw1#show vstack config
  5.  Role: Client (SmartInstall enabled)
  6.  Vstack Director IP address: 0.0.0.0
  7.  
  8.  *** Following configurations will be effective only on director ***
  9.  Vstack default management vlan: 1
  10.  Vstack management Vlans: none
  11.  Join Window Details:
  12.          Window: Open (default)
  13.          Operation Mode: auto (default)
  14.  Vstack Backup Details:
  15.          Mode: On (default)
  16.          Repository:

Выключаем:

  1. sw1#conf t
  2. Enter configuration commands, one per line.  End with CNTL/Z.
  3. sw1(config)#no vstack
  4. sw1(config)#exi
  5.  
  6. sw1#show vstack config
  7.  Role: Client (SmartInstall disabled)
  8.  Vstack Director IP address: 0.0.0.0
  9.  
  10.  *** Following configurations will be effective only on director ***
  11.  Vstack default management vlan: 1
  12.  Vstack management Vlans: none
  13.  Join Window Details:
  14.          Window: Open (default)
  15.          Operation Mode: auto (default)
  16.  Vstack Backup Details:
  17.          Mode: On (default)
  18.          Repository:

Проверяем доступность по сети, порт теперь закрыт:

  1. $ nmap -p T:4786 10.10.10.2
  2.  
  3. Starting Nmap 7.60 ( https://nmap.org ) at 2018-04-06 11:46 EEST
  4. Nmap scan report for 10.10.10.2
  5. Host is up (0.12s latency).
  6.  
  7. PORT     STATE  SERVICE
  8. 4786/tcp closed smart-install
  9.  
  10. Nmap done: 1 IP address (1 host up) scanned in 0.49 seconds

Примечательно, что исправление Cisco выпустила только 28-го марта 2018 г. В базе данных CVE уязвимости просвоен идентификатор CVE-2018-0171.

Размещено в категории Cisco.

Комментариев: 0

Чтобы быть всегда в курсе здесь происходящего, Вы можете подписаться на RSS feed для комментариев на эту заметку.

Some HTML is OK

(required)

(required, but never shared)

, или ответить через trackback.

Страница 1 из 11