近日有大量思科交换机因漏洞被攻击,被攻击的设备出现配置被清空的情况。研究人员在 Smart InstallClient 代码中发现一个缓冲区堆栈溢出漏洞。攻击者利用这个漏洞可以不经身份验证远程执行任意代码。也就是说,攻击者能够完全控制受漏洞影响的网络设备。
该漏洞将影响所有支持SmartInstall Client 功能的设备,可以尝试执行以下命令,检测网络设备是否有SmartInstall Client 功能:
switch>show vstack config
Role:Client(SmartInstall enabled)
VstackDirectorIP address: 0.0.0.0
switch>show tcp brief all
TCBLocalAddress Foreign Address (state)
0344B794*.4786 *.* LISTEN
0350A018*.443 *.* LISTEN
03293634*.443*.* LISTEN
03292D9C*.80*.* LISTEN
03292504*.80*.* LISTEN
支持 Smart Install Client 的设备都受到漏洞影响,包括下列:
Catalyst4500 Supervisor Engines
Catalyst3850 Series
Catalyst3750 Series
Catalyst3650 Series
Catalyst3560 Series
Catalyst2960 Series
Catalyst2975 Series
IE2000
IE3000
IE3010
IE4000
IE4010
IE5000
SM-ES2SKUs
SM-ES3SKUs
NME-16ES-1G-P
SM-X-ES3SKUs
从故障处理的角度分为三个阶段:
临时处置措施:
关闭协议
switch#conf t
switch(config)#no vstack
switch#wr
根治:
联系思科获取最新补丁
监控预防:
乐维监控团队从2011年开始做Zabbix二次开发,对于如此强大的开源监控平台,肯定可以从工具的角度做到配置备份,并且如有配置变更告警的设置,具体操作如下:
Zabbix监测网络设备
1. 通过ssh或者telnet脚本模拟登录交互然后放入Zabbix外部检查目录下
2. 通过Zabbix的监控项创建外部检查监控项(这里用telnet做测试SSH原理一样)
3. 创建Cisco对象,并输入相应宏参数到脚本
4. 查看最新数据
5. 尝试修改配置(为了达到测试效果,采集频率改为60秒)
