漏洞概述： 

mart Install漏洞概況
近日,國內(nèi)諸多思科交換機(jī)設(shè)備用戶曝光多個(gè)設(shè)備被黑客入侵的情況。被攻擊的Cisco設(shè)備的配置文件 startup.config 會(huì)被覆蓋為“Don't mess with our elections.... -JHTusafreedom_jht@tutanota.com”,并可導(dǎo)致Cisco設(shè)備重啟
IE 5000
ME 3400E Series Ethernet Access
ME 3400 Series Ethernet Access
斷網(wǎng)。
該漏洞是由于Cisco IOS Smart Install Client 在 TCP(4786) 端口與 Smart Install Director 進(jìn)行通信時(shí)存在緩沖區(qū)溢出導(dǎo)致任意代碼執(zhí)行。
關(guān)于smart install漏洞的處理方法如下面郵件，如有用戶需要可以提供給用戶。
其中，可能受到影響的思科設(shè)備類型有：
Catalyst 2960
Catalyst 2960-C
Catalyst 2960-CX
Catalyst 2960-L
Catalyst 2960-P
Catalyst 2960-S
Catalyst 2960-SF
Catalyst 2960-X
Catalyst 2960-XR
Catalyst 2975
Catalyst 3560
Catalyst 3560-C
Catalyst 3560-CX
Catalyst 3560-E
Catalyst 3560-X
Catalyst 3650
Catalyst 3750
Catalyst 3750 Metro Series
Catalyst 3750-E
Catalyst 3750-X
Catalyst 3850
Catalyst 4500 Supervisor Engine, 6E, 6LE, 7E, 7LE, 8E, 8LE
Catalyst 6500 Supervisor Engine 2T-10GE
IE 2000
IE 3000
IE 3010
IE 4000
IE 4010
NME-16ES-1G-P
SM-ES2 SKUs
SM-ES3 SKUs
SM-X-ES3 SKUs
 不受影響系統(tǒng)及應(yīng)用版本
1、手工關(guān)閉了Cisco Smart Install管理協(xié)議，或模式為Director模式的Cisco設(shè)備均不受影響。(注：所有相關(guān)產(chǎn)品在出廠時(shí)默認(rèn)開啟了該項(xiàng)功能)
2、具備以下軟件版本的設(shè)備不在影響范圍之內(nèi)：
Catalyst 2960系列交換機(jī)：15.2(2)E8,15.2(4)E6,15.2(6)E1及后續(xù)發(fā)布的IOS版本
Catalyst 3560/3750系列交換機(jī)：15.2(4)E6及后續(xù)發(fā)布的IOS版本
Catalyst 3650/3850系列交換機(jī)：16.3.6，3.6.8E及后續(xù)發(fā)布的IOS-XE版本
Catalyst 4500系列交換機(jī)：3.6.8E及后續(xù)發(fā)布的IOS-XE版本
Catalyst65 Supervisor Engine 2T-10GE：15.2(1)SY6及后續(xù)發(fā)布的IOS版本
IE系列交換機(jī)：15.5(1)SY1及后續(xù)發(fā)布的IOS版本
ME系列交換機(jī)：12.2(60)EZ12及后續(xù)發(fā)布的IOS版本

解決方案：

對于可能存在“Cisco Smart Install遠(yuǎn)程命令執(zhí)行”漏洞的設(shè)備，思科提供如下的檢查方法，快速定位使用設(shè)備是否存在該項(xiàng)漏洞的可能性。
方法一：通過命令行命令確認(rèn)Smart Install Client功能是否開啟
在設(shè)備的命令行輸入命令可以直接檢查Smart Install Client功能是否開啟，命令執(zhí)行結(jié)果如下所示：
switch>show vstack config | inc Role
Role: Client (SmartInstall enabled)
 
方法二：通過命令行命令確認(rèn)Smart Install Client所使用的TCP端口是否激活
對于部分軟件版本過于陳舊的設(shè)備，命令行不支持“vstack”相關(guān)命令，但也可能存在該功能漏洞，可以通過直接檢查TCP端口4786是否激活的方式，用于確認(rèn)是否可能存在該漏洞，命令執(zhí)行結(jié)果如下所示：
switch>show tcp brief all
TCB       Local Address            Foreign Address             (state)
05FD9F98  0.0.0.0.4786               *.*                         LISTEN
0568FFFC  0.0.0.0.443                *.*                         LISTEN
0568F038  0.0.0.0.443                *.*                         LISTEN
0568E428  0.0.0.0.80                 *.*                         LISTEN
0568D818  0.0.0.0.80                 *.*                         LISTEN
對于可能存在“Cisco Smart Install遠(yuǎn)程命令執(zhí)行”漏洞的設(shè)備，思科提供如下的技術(shù)手段，規(guī)避該漏洞所帶來的風(fēng)險(xiǎn)。
 方法一：將設(shè)備軟件升級到最新軟件版本
通過升級設(shè)備所使用的軟件版本，可以修復(fù)設(shè)備的該漏洞，所需的軟件版本，可在Cisco IOS Software Checker網(wǎng)站上進(jìn)行查詢，也可以聯(lián)系思科代理商或是思科公司獲取相關(guān)的軟件。
 方法二：關(guān)閉“Smart Install Client”功能
可以采用手工關(guān)閉“Smart Install Client”的功能的方法，在線的規(guī)避風(fēng)險(xiǎn)，關(guān)閉該功能的命令及運(yùn)行結(jié)果如下所示：
switch(config)#no vstack
switch#show vstack config | inc Role
Role: Client (SmartInstall disabled)