Skoči na vsebino

SI-CERT 2018-03 / Ranljivost Cisco Smart Install (SMI) protokola

Povzetek

Cisco je objavil kritično ranljivost v SMI protokolu CVE-2018-0171, ki omogoča prekoračitev medpomnilnika na prizadeti napravi, ki so jo odkrili raziskovalci (proof-of-concept). Ta ranljivost omogoča napadalcu, da izvrši poljubno kodo brez avtentikacije. Tako lahko napadalec pridobi popolni nadzor nad ranljivo omrežno opremo. Ranljive so vse naprave navedene v spodnjem seznamu,  ki imajo odprta TCP vrata 4786. Skrbnikom priporočamo takojšnjo posodobitev naprave, ki so jo pri Ciscu že izdali [1] in omejitev dostopa do vrat 4786.

Opis

SMI omogoča avtomatizacijo procesa začetne konfiguracije in nalaganje slike operacijskega sistema za novo omrežno stikalo. To pomeni, da lahko priklopite stikalo v omrežje in ga vklopite brez vsakokratnega nastavljanja posamične naprave. Tehnologija omogoča tudi varnostno kopijiranje konfiguracije v primeru sprememb. SMI protokol teče na TCP vratih 4786, ki so privzeto odprta, zato že sam dostop do storitve SMI na napravi pomeni možnost spremembe nastavitev in prestrezanja prometa.

Dodatno je ranljivost CVE-2018-0171 posledica nepravilnega preverjanja podatkov v komunikacijskih paketih. Napadalec bi lahko to ranljivost izkoristil s pošiljanjem posebej oblikovanih sporočil na SMI vrata ranljive naprave. Uspešna izraba ranljivosti na prizadeti napravi, pa napadalcu omogoča tudi zagon poljubne kode.

Na napravi lahko preverite, ali je SMI omogočen z ukazom »show vstack config«, odprta TCP vrata pa preverite z ukazom »show tcp brief all«.

Seznam ranljivih naprav [2]:

  • Catalyst 4500 Supervisor Engines
  • Catalyst 3850 Series
  • Catalyst 3750 Series
  • Catalyst 3650 Series
  • Catalyst 3560 Series
  • Catalyst 2960 Series
  • Catalyst 2975 Series
  • IE 2000
  • IE 3000
  • IE 3010
  • IE 4000
  • IE 4010
  • IE 5000
  • SM-ES2 SKUs
  • SM-ES3 SKUs
  • NME-16ES-1G-P
  • SM-X-ES3 SKUs

Rešitev

SMI je zasnovan tako, da omogoča oddaljeno upravljanje Cisco stikal, zato mora biti storitev omogočena, vendar je dostop potrebno omejiti z uporabo ACL pravil samo na posamične IP naslove ali notranje omrežje. Če SMI ni v uporabi, se storitev onemogoči s pomočjo konfiguracijskega ukaza »no vstack«.

Ranljivost naprave lahko preverite z orodjem, ki so ga dali na voljo pri Ciscu:
https://tools.cisco.com/security/center/softwarechecker.x

Cisco je za ranljivost CVE-2018-0171 že izdal posodobitve [1], tako da skrbnikom svetujemo, da nemudoma nadgradijo programsko opremo.

Viri

[1] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2
[2] https://embedi.com/blog/cisco-smart-install-remote-code-execution/
[3] https://cve.mitre.org/cgi-bin/cvename.cgi?name=2018-0171

Preberite tudi

SI-CERT 2021-05 / Kritične ranljivosti Microsoft Exchange (ProxyShell)

Prva objava: 19. 8. 2021 Povzetek Veriga ranljivosti v Microsoft Exchange omogoča oddaljeno podtikanje in zagon poljubne kode (RCE, Remote Code Execution) z administratorskimi pravicami. Gre za drugačno verigo od …
Več

SI-CERT 2021-04 / Kritična ranljivost Microsoft Windows Print Spooler servisa

Ranljivost omogoča kateremukoli avtenticiranemu uporabniku oddaljeno izvajanje kode s privilegiji SYSTEM uporabnika na sistemih Microsoft Windows, ki imajo omogočen Print spooler servis. PoC koda, ki omogoča izkoriščanje ranljivost, je že javno objavljena.
Več

SI-CERT 2021-03 / Širjenje okužb s trojanskim konjem QBot

Povzetek QBot (tudi Qakbot) je trojanski konj, prvenstveno namenjen kraji podatkov iz okuženega sistema, ki je v različnih oblikah prisoten že več kot 10 let. V zadnjih različicah je pridobil …
Več