Критическая уязвимость в Cisco Smart Install в IOS и IOS XE

Уязвимость протокола Cisco Smart Install в операционных системах IOS и IOS XE: специально сконструированный пакет, отправленный на порт TCP/4786 коммутатора, на котором включен Smart Install Client, вызывает переполнение буфера и дает возможность злоумышленнику отправить устройство на перезагрузку или запустить на нем произвольный код.

Уязвимость обнаружена исследователями из компании Embedi, имеет уровень 9,8 баллов по шкале CVSS и зарегистрирована под номерами cisco-sa-20180328-smi2 и CVE-2018-0171.

Под угрозой все коммутаторы Cisco Catalyst, на которых включен Smart Install Client.

Определить, включен ли Smart Install Client на коммутаторе, можно командой:

switch>show vstack config

Устройство уязвимо, если в выводе команды есть строки

Role: Client (SmartInstall enabled)

или

Role: Client

Oper Mode: Enabled

Рекомендации по устранению уязвимости:

1. Если протокол Smart Install не используется, его следует отключить командой:

switch(config)>no vstack

2. Если Smart Install используется только для начальной настройки коммутатора, то его следует отключать после окончания настройки.
3. Если Smart Install используется постоянно, то следует применять ACL для ограничения хостов, с которых разрешается подключение к коммутатору по порту TCP/4786. Например, в следующем ACL используется адрес Smart Install Director 10.10.10.1 и адрес Smart Install Client 10.10.10.200:

ip access-list extended SMI_HARDENING_LIST

permit tcp host 10.10.10.1 host 10.10.10.200 eq 4786

deny tcp any any eq 4786

permit ip any any