滥用Cisco Smart Install协议在野攻击事件分析

近期,不断有媒体报道多个使用思科交换机的网络基础设施遭到攻击,造成设备瘫痪并在屏幕上显示美国国旗,疑似使用了CVE-2018-0171,但根据研判此攻击实际是滥用Cisco Smart Install协议中未授权的配置修改功能,并非是CVE-2018-0171,目前没有足够的事实证明CVE-2018-0171已被大规模利用攻击。

【预警通告】Cisco IOS/IOS XE远程代码执行漏洞(CVE-2018-0171)

2018年3月28日,Cisco IOS以及IOS XE软件被发现存在一个严重漏洞CVE-2018-0171。攻击者可以在未授权的情况下通过重新加载(reload)设备造成拒绝服务条件,或者远程执行代码。Smart Install是为新的LAN以太网交换机提供零触摸部署的即插即用配置和图形管理功能,在TCP端口4786上运行的Cisco专用协议,若设备启用了Smart Install功能且对外开放4786端口,攻击者就可通过发送畸形Smart Install报文来利用此漏洞,使得设备缓冲区溢出,导致拒绝服务乃至远程代码执行等后果。