Skoči na vsebino
Varnostna obvestila /

SI-CERT 2018-03 / Ranljivost Cisco Smart Install (SMI) protokola

Povzetek

Cisco je objavil kritično ranljivost v SMI protokolu CVE-2018-0171, ki omogoča prekoračitev medpomnilnika na prizadeti napravi, ki so jo odkrili raziskovalci (proof-of-concept). Ta ranljivost omogoča napadalcu, da izvrši poljubno kodo brez avtentikacije. Tako lahko napadalec pridobi popolni nadzor nad ranljivo omrežno opremo. Ranljive so vse naprave navedene v spodnjem seznamu,  ki imajo odprta TCP vrata 4786. Skrbnikom priporočamo takojšnjo posodobitev naprave, ki so jo pri Ciscu že izdali [1] in omejitev dostopa do vrat 4786.

Opis

SMI omogoča avtomatizacijo procesa začetne konfiguracije in nalaganje slike operacijskega sistema za novo omrežno stikalo. To pomeni, da lahko priklopite stikalo v omrežje in ga vklopite brez vsakokratnega nastavljanja posamične naprave. Tehnologija omogoča tudi varnostno kopijiranje konfiguracije v primeru sprememb. SMI protokol teče na TCP vratih 4786, ki so privzeto odprta, zato že sam dostop do storitve SMI na napravi pomeni možnost spremembe nastavitev in prestrezanja prometa.

Dodatno je ranljivost CVE-2018-0171 posledica nepravilnega preverjanja podatkov v komunikacijskih paketih. Napadalec bi lahko to ranljivost izkoristil s pošiljanjem posebej oblikovanih sporočil na SMI vrata ranljive naprave. Uspešna izraba ranljivosti na prizadeti napravi, pa napadalcu omogoča tudi zagon poljubne kode.

Na napravi lahko preverite, ali je SMI omogočen z ukazom »show vstack config«, odprta TCP vrata pa preverite z ukazom »show tcp brief all«.

Seznam ranljivih naprav [2]:

  • Catalyst 4500 Supervisor Engines
  • Catalyst 3850 Series
  • Catalyst 3750 Series
  • Catalyst 3650 Series
  • Catalyst 3560 Series
  • Catalyst 2960 Series
  • Catalyst 2975 Series
  • IE 2000
  • IE 3000
  • IE 3010
  • IE 4000
  • IE 4010
  • IE 5000
  • SM-ES2 SKUs
  • SM-ES3 SKUs
  • NME-16ES-1G-P
  • SM-X-ES3 SKUs

Rešitev

SMI je zasnovan tako, da omogoča oddaljeno upravljanje Cisco stikal, zato mora biti storitev omogočena, vendar je dostop potrebno omejiti z uporabo ACL pravil samo na posamične IP naslove ali notranje omrežje. Če SMI ni v uporabi, se storitev onemogoči s pomočjo konfiguracijskega ukaza »no vstack«.

Ranljivost naprave lahko preverite z orodjem, ki so ga dali na voljo pri Ciscu:
https://tools.cisco.com/security/center/softwarechecker.x

Cisco je za ranljivost CVE-2018-0171 že izdal posodobitve [1], tako da skrbnikom svetujemo, da nemudoma nadgradijo programsko opremo.

Viri

[1] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2
[2] https://embedi.com/blog/cisco-smart-install-remote-code-execution/
[3] https://cve.mitre.org/cgi-bin/cvename.cgi?name=2018-0171

Preberite tudi

Varnostna obvestila /

SI-CERT 2025-05 / Kritična ranljivost Roundcube Webmail

Roundcube Webmail vsebuje kritično ranljivost, ki omogoča izvajanje poljuben kode. Ranljivost se že lahko izkorišča v napadih, zato svetujemo takojšnje ukrepanje.
Več
Varnostna obvestila /

SI-CERT 2025-04 / Težave spletnih strežnikov zaradi obsežnega strganja vsebin za potrebe treniranje LLM modelov

AI boti, ki strgajo vsebine iz spletnih mest za potrebe treniranja LLM modelov, lahko povzročijo podobne težave kot DDoS napad.
Več
Varnostna obvestila /

SI-CERT 2025-03 / Več VMware ranljivosti

Izraba verige treh ranljivosti napadalcem omogoča prehod iz virtualnega sistema v gostiteljski sistem (t.i. VM Escape). Po podatkih proizvajalca naj bi se ranljivosti že izrabljale v posameznih napadih.
Več