Skoči na vsebino
Varnostna obvestila /

SI-CERT 2018-03 / Ranljivost Cisco Smart Install (SMI) protokola

Povzetek

Cisco je objavil kritično ranljivost v SMI protokolu CVE-2018-0171, ki omogoča prekoračitev medpomnilnika na prizadeti napravi, ki so jo odkrili raziskovalci (proof-of-concept). Ta ranljivost omogoča napadalcu, da izvrši poljubno kodo brez avtentikacije. Tako lahko napadalec pridobi popolni nadzor nad ranljivo omrežno opremo. Ranljive so vse naprave navedene v spodnjem seznamu,  ki imajo odprta TCP vrata 4786. Skrbnikom priporočamo takojšnjo posodobitev naprave, ki so jo pri Ciscu že izdali [1] in omejitev dostopa do vrat 4786.

Opis

SMI omogoča avtomatizacijo procesa začetne konfiguracije in nalaganje slike operacijskega sistema za novo omrežno stikalo. To pomeni, da lahko priklopite stikalo v omrežje in ga vklopite brez vsakokratnega nastavljanja posamične naprave. Tehnologija omogoča tudi varnostno kopijiranje konfiguracije v primeru sprememb. SMI protokol teče na TCP vratih 4786, ki so privzeto odprta, zato že sam dostop do storitve SMI na napravi pomeni možnost spremembe nastavitev in prestrezanja prometa.

Dodatno je ranljivost CVE-2018-0171 posledica nepravilnega preverjanja podatkov v komunikacijskih paketih. Napadalec bi lahko to ranljivost izkoristil s pošiljanjem posebej oblikovanih sporočil na SMI vrata ranljive naprave. Uspešna izraba ranljivosti na prizadeti napravi, pa napadalcu omogoča tudi zagon poljubne kode.

Na napravi lahko preverite, ali je SMI omogočen z ukazom »show vstack config«, odprta TCP vrata pa preverite z ukazom »show tcp brief all«.

Seznam ranljivih naprav [2]:

  • Catalyst 4500 Supervisor Engines
  • Catalyst 3850 Series
  • Catalyst 3750 Series
  • Catalyst 3650 Series
  • Catalyst 3560 Series
  • Catalyst 2960 Series
  • Catalyst 2975 Series
  • IE 2000
  • IE 3000
  • IE 3010
  • IE 4000
  • IE 4010
  • IE 5000
  • SM-ES2 SKUs
  • SM-ES3 SKUs
  • NME-16ES-1G-P
  • SM-X-ES3 SKUs

Rešitev

SMI je zasnovan tako, da omogoča oddaljeno upravljanje Cisco stikal, zato mora biti storitev omogočena, vendar je dostop potrebno omejiti z uporabo ACL pravil samo na posamične IP naslove ali notranje omrežje. Če SMI ni v uporabi, se storitev onemogoči s pomočjo konfiguracijskega ukaza »no vstack«.

Ranljivost naprave lahko preverite z orodjem, ki so ga dali na voljo pri Ciscu:
https://tools.cisco.com/security/center/softwarechecker.x

Cisco je za ranljivost CVE-2018-0171 že izdal posodobitve [1], tako da skrbnikom svetujemo, da nemudoma nadgradijo programsko opremo.

Viri

[1] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2
[2] https://embedi.com/blog/cisco-smart-install-remote-code-execution/
[3] https://cve.mitre.org/cgi-bin/cvename.cgi?name=2018-0171

Preberite tudi

Varnostna obvestila /

SI-CERT 2026-02 / Ranljivost v WordPress vtičniku PixelYourSite

WordPress vtičnik PixelYourSite vsebuje ranljivost z visoko resnostjo, ki omogoča vstavljanje in trajno shranjevanje zlonamerne kode v vsebino spletnega mesta
Več
Varnostna obvestila /

SI-CERT 2026-01 / Ranljivosti Cisco Catalyst SD-WAN

Prva objava: 25. februar 2026Zadnje urejanje: 26. februar 2026 Povzetek Podjetje Cisco je objavilo več ranljivosti Cisco Catalyst SD-WAN Controller in Cisco Catalyst SD-WAN Manager naprav, ki se že aktivno …
Več
Varnostna obvestila /

SI-CERT 2025-08 / F5 izpostavljenost izvorne kode

Napadalci so avgusta 2025 pridobili dolgotrajen nepooblaščen dostop do nekaterih notranjih sistemov F5, vključno z razvojnim okoljem za BIG‑IP in platformami za upravljanje inženirskega znanja. Ukradli so občutljive podatke, med njimi del izvorne kode BIG‑IP, in informacije o nerazkritih ranljivostih. Podajamo nasvete za skrbnike F5 sistemov.
Več