思科三层交换机如何关闭端口（思科底层网络设备爆严重漏洞）

2018年3月28日，Cisco发布了一个远程代码执行严重漏洞通告通告了思科IOS和IOS-XE系统的配置管理类协议Cisco Smart Install（Cisco私有协议）代码中存在一处缓冲区栈溢出漏洞，漏洞编号为CVE-2018-0171攻击者无需用户验证即可向远端Cisco设备的 TCP 4786 端口发送精心构造的恶意数据包，触发漏洞造成设备远程执行Cisco系统命令或拒绝服务（DoS），下面我们就来说一说关于思科三层交换机如何关闭端口?我们一起去了解并探讨一下这个问题吧!

思科三层交换机如何关闭端口

2018年3月28日，Cisco发布了一个远程代码执行严重漏洞通告。通告了思科IOS和IOS-XE系统的配置管理类协议Cisco Smart Install（Cisco私有协议）代码中存在一处缓冲区栈溢出漏洞，漏洞编号为CVE-2018-0171。攻击者无需用户验证即可向远端Cisco设备的 TCP 4786 端口发送精心构造的恶意数据包，触发漏洞造成设备远程执行Cisco系统命令或拒绝服务（DoS）。

其中最严重的是编号CVE-2018-0171的堆叠式缓冲溢位漏洞，它位于IOS及IOS XE中的Smart Install功能中。Smart Install是方便新交换机部署的组态及镜像档管理功能，它可以自动化首次组态，加载现有作业系统镜像档到网络交换机中，加速新机部署的速度，此外也具备组态备份功能。本漏洞由安全公司Embedi发现并通报思科。

漏洞发生于Smart Install Client的代码中，使其未能对封包数据做必要验证。攻击者可以发送含有恶意代码的Smart Install信息给思科交换器上的TCP port 4786，在Smart Install Client启动下，引发SMI IBC Server对恶意信息处理，进而导致堆叠式缓冲溢位攻击。

漏洞相关的技术细节和验证程序已经公开，且互联网上受影响的主机数量非常大。由于此漏洞影响底层网络设备，且漏洞相关PoC已经公开并证实可用，极有可能构成巨大的现实威胁。

漏洞影响

确认受影响的型号：

Catalyst 4500 Supervisor Engines

Cisco Catalyst 3850 Series switches

Cisco Catalyst 2960 Series Switches

可能受影响的设备型号：

Catalyst 4500 Supervisor Engines

Catalyst 3850 Series

Catalyst 3750 Series

Catalyst 3650 Series

Catalyst 3560 Series

Catalyst 2960 Series

Catalyst 2975 Series

IE 2000

IE 3000

IE 3010

IE 4000

IE 4010

IE 5000

SM-ES2 SKUs

SM-ES3 SKUs

NME-16ES-1G-P

SM-X-ES3 SKUs

未开启Cisco Smart Install管理协议或模式为Director模式的Cisco设备均不受影响。

发现该漏洞的安全公司Embedi最初以为该漏洞只能在企业网络的内部被利用。但是它后来发现数百万受影响的设备暴露在互联网上。

Embedi写道：“由于在安全配置的网络中，Smart Install技术的参与者应该不可以通过互联网来访问。但是扫描互联网后表明，实际情况不是这样。”“我们对互联网进行短暂的扫描后发现了250000个易受攻击的设备和850万个易受攻击的端口敞开的设备。”多款思科路由器和交换机支持Smart Install。端口敞开的设备之所以数量众多，可能是由于在默认情况下，Smart Install客户端的端口TCP 4786是敞开的。

Embedi表示，许多网络管理员忽视了这种情况。该公司还发布了概念证明漏洞代码，所以管理员的当务之急可能是打上补丁。

处置方式

本地自查方法A：（需登录设备）

可以通过以下命令确认是否开启 Smart Install Client 功能：

●switch>show vstack config

●Role:Client (SmartInstall enabled)

●Vstack Director IP address: 0.0.0.0

●switch>show tcp brief all

●TCB Local Address Foreign Address (state)

●0344B794 *.4786 *.* LISTEN

●0350A018 *.443 *.* LISTEN

●03293634 *.443 *.* LISTEN