安全研究

威胁情报
Cisco IOS&IOS XE Software CMP 远程执行代码漏洞

美国时间2017年3月17日,思科官方网站发布公告称Cisco IOS&IOS XE Software 集群管理协议(Cluster Management Protocol)存在远程执行代码漏洞(CVE-2017-3881,CNNVD-201703-840)。

该漏洞是思科在研究CIA泄漏文档“穹顶7号”的过程中发现。攻击者可以在未授权的情况下远程重启受影响的设备或越权执行代码。造成该漏洞的主要原因是由于没有限制CMP-specific Telnet仅可用于内部与本地的集群成员之间的通信,而是可用于连接任何受影响的设备,以及对于变形过的CMP-specific Telnet选项设置的错误处理。当用Telnet连接一个受影响设备的过程中,攻击者可以通过发送一个变形过的CMP-specific Telnet选项设置来建立与该设备的连接,利用此方法攻击者可以远程执行任意代码来完全控制此设备或者使得该设备重启。


相关链接如下:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170317-cmp

http://www.cnnvd.org.cn/vulnerability/show/cv_id/2017030840


受影响的产品及版本

思科公布目前有318款产品受此漏洞影响,详细产品列表见报告后附录。


不受影响的产品

• 目前没有其他已知的产品受此漏洞影响。
 运行Cisco IOS Software 但是没有在上述受影响列表内的设备不受影响。
 运行Cisco IOS XE Software但是不包含CMP协议子系统的产品不受影响。


检测方法

运行Cisco IOS 与IOS XE 软件的设备均需要确认Telnet的设置选项是否为接受任何连接请求。运行Cisco IOS XE软件的设备还需要额外确认软件镜像中是否存在CMP子系统。

对于运行Cisco IOS XE软件的设备,要确认软件镜像下是否存在CMP子系统,可以在该设备的CLI下输入以下命令:


下面的例子为软件镜像中存在CMP子系统的结果:


下面的例子为软件镜像中不存在CMP子系统的结果:

要确认设备是否配置为接受任何Telnet连接请求,可以在该设备的CLI下输入以下命令:



运行此命令可得到多种结果,以下举例说明:

 在line vty配置行后缺少transport input配置行说明该设备在处理来自虚拟终端(VTY)的链接访问时采用的是一系列默认协议,这些协议包扩Telnet的协议,该设备将接受任何来自VTY的Telnet连接请求,因此这是一个受该漏洞影响的配置。
 设备被特地配置为在处理部分可用VTY的连接请求时仅接受SSH协议,然而编号为6-15的VTY仍然使用默认协议。该设备在处理这些特定的VTY连接请求时仍然会接受任何Telnet请求,因此这是一个受漏洞影响的配置。
 在处理与所有VTY的连接时,使用任何可用的协议。Telnet协议也会被使用,因此这是一个受漏洞影响的配置。
 对于所有的VTY连接请求,仅允许使用SSH协议。任何使用Telnet的VTY连接均不会通过,因此这不是一个受漏洞影响的配置。
 对于来自VTY的连接请求,Telnet和SSH协议均被允许。利用Telnet连接该设备的请求均会通过,因此这是一个受漏洞影响的配置。

要查询Cisco IOS Software的版本信息,管理员可以登录到设备,在CLI下使用show version命令来查看系统相关信息。如果该设备在运行Cisco IOS Software,系统信息会有类似于Cisco Internetwork Operating System Software or Cisco IOS Software条目的出现。要查询Cisco IOS XE Software的版本信息,可以同样在CLI下使用show version命令来查询,如果该设备在运行Cisco IOS XE Software,会有类似于Cisco IOS XE Software的条目出现。


规避方案

 禁用Telnet协议

思科官方建议禁用Telnet协议而采用SSH协议来处理连接请求。具体的操作方法见如下链接:

http://www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html


 不方便禁用Telnet的用户可以创建设备层次的VTY访问白名单或者基础设施访问控制名单(iACLs)。具体操作方法可参考如下链接:

http://www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html#anc41

http://www.cisco.com/c/en/us/support/docs/ip/access-lists/43920-iacl.html


 用户可以利用思科官方的检测工具来检测,地址如下:

http://tools.cisco.com/security/center/selectIOSVersion.x


注:

目前思科官方还没有提供可用的相关补丁用来升级解决此问题,请时刻关注思科官方发布的补丁和最新更新。


声 明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。


浏览次数:

关 闭