Skoči na vsebino
Varnostna obvestila /

SI-CERT 2018-03 / Ranljivost Cisco Smart Install (SMI) protokola

Povzetek

Cisco je objavil kritično ranljivost v SMI protokolu CVE-2018-0171, ki omogoča prekoračitev medpomnilnika na prizadeti napravi, ki so jo odkrili raziskovalci (proof-of-concept). Ta ranljivost omogoča napadalcu, da izvrši poljubno kodo brez avtentikacije. Tako lahko napadalec pridobi popolni nadzor nad ranljivo omrežno opremo. Ranljive so vse naprave navedene v spodnjem seznamu,  ki imajo odprta TCP vrata 4786. Skrbnikom priporočamo takojšnjo posodobitev naprave, ki so jo pri Ciscu že izdali [1] in omejitev dostopa do vrat 4786.

Opis

SMI omogoča avtomatizacijo procesa začetne konfiguracije in nalaganje slike operacijskega sistema za novo omrežno stikalo. To pomeni, da lahko priklopite stikalo v omrežje in ga vklopite brez vsakokratnega nastavljanja posamične naprave. Tehnologija omogoča tudi varnostno kopijiranje konfiguracije v primeru sprememb. SMI protokol teče na TCP vratih 4786, ki so privzeto odprta, zato že sam dostop do storitve SMI na napravi pomeni možnost spremembe nastavitev in prestrezanja prometa.

Dodatno je ranljivost CVE-2018-0171 posledica nepravilnega preverjanja podatkov v komunikacijskih paketih. Napadalec bi lahko to ranljivost izkoristil s pošiljanjem posebej oblikovanih sporočil na SMI vrata ranljive naprave. Uspešna izraba ranljivosti na prizadeti napravi, pa napadalcu omogoča tudi zagon poljubne kode.

Na napravi lahko preverite, ali je SMI omogočen z ukazom »show vstack config«, odprta TCP vrata pa preverite z ukazom »show tcp brief all«.

Seznam ranljivih naprav [2]:

  • Catalyst 4500 Supervisor Engines
  • Catalyst 3850 Series
  • Catalyst 3750 Series
  • Catalyst 3650 Series
  • Catalyst 3560 Series
  • Catalyst 2960 Series
  • Catalyst 2975 Series
  • IE 2000
  • IE 3000
  • IE 3010
  • IE 4000
  • IE 4010
  • IE 5000
  • SM-ES2 SKUs
  • SM-ES3 SKUs
  • NME-16ES-1G-P
  • SM-X-ES3 SKUs

Rešitev

SMI je zasnovan tako, da omogoča oddaljeno upravljanje Cisco stikal, zato mora biti storitev omogočena, vendar je dostop potrebno omejiti z uporabo ACL pravil samo na posamične IP naslove ali notranje omrežje. Če SMI ni v uporabi, se storitev onemogoči s pomočjo konfiguracijskega ukaza »no vstack«.

Ranljivost naprave lahko preverite z orodjem, ki so ga dali na voljo pri Ciscu:
https://tools.cisco.com/security/center/softwarechecker.x

Cisco je za ranljivost CVE-2018-0171 že izdal posodobitve [1], tako da skrbnikom svetujemo, da nemudoma nadgradijo programsko opremo.

Viri

[1] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2
[2] https://embedi.com/blog/cisco-smart-install-remote-code-execution/
[3] https://cve.mitre.org/cgi-bin/cvename.cgi?name=2018-0171

Preberite tudi

Varnostna obvestila /

SI-CERT 2024-04 / Kritična ranljivost v PAN-OS

Kritična ranljivost CVE-2024-3400 sistema PAN-OS omogoča oddaljeno izvajanje poljubne kode s pravicami root uporabnika.
Več
Varnostna obvestila /

SI-CERT 2024-03 / Kraje sredstev iz mobilnih bank preko okužbe z virusom Anatsa

Zlonamerne aplikacije, ki so bile na voljo v Google Play trgovini, omogočajo krajo sredstev iz mobilnih bank.
Več
Varnostna obvestila /

SI-CERT 2024-02 / Kritične ranljivosti v FortiOS

Fortinet je 8.2.2024 izdal obvestili o dveh kritičnih ranljivostih CVE-2024-21762 in CVE-2024-23113 sistema FortiOS sslvpnd in fgfmd.
Več