Cisco Smart Install Client 취약점

Cisco Smart Install Client 취약점 (tistory.com)

Cisco Smart Install Client 취약점

2017년초 Cisco Smart Install Client 취약점을 통하여 공격이 들어와서 시스템이 재부팅 되는 증상이 발견되었다. 내용은 아래와 같다
 
l  원인 : Cisco Smart Install Client(CVE-2018-017) 취약점을 이용한 원격 시스템 재부팅(참조URL1)
l  대상 펌웨어 : 아래 URL에서 확인 가능(참조URL2)
l  증상 : 시스템 리부팅, DOS공격, 무한루프 발생
l  공격형태
-       침입자는 Cisco Smart Install Client 장치에서 사용되는 Smart Install 메시를 TCP4786 포트를 통하여 보내어
시스템에 악영향을 끼칠수 있는 오버플로우 생성, 원격 명령어(Reload), 무한루프등을 발생
l  조치 방법
1.     펌웨어 업그레이드
2.  Vstak Disable(임시조치)
1) 스위치에서 Smart Install Client 기능 관련 서비스 활성화 여부 확인
test# show vstack config
 Role: Client (SmartInstall enabled)   // enable일경우 사용중임
Vstack Director IP address: 0.0.0.0
 
*** Following configurations will be effective only on director ***
Vstack default management vlan: 1
Vstack start-up management vlan: 1
Vstack management Vlans: none
Join Window Details:
         Window: Open (default)
         Operation Mode: auto (default)
Vstack Backup Details:
         Mode: On (default)
         Repository:
 
2) 스위치에서 관련포트 활성화 여부 확인
** 외부에서 접근시에만 나오는 경우도 있음
test# show tcp brief all
04A20C38  1.1.1.1.4786     *.*   LISTEN
 
3) 외부에서 관련포트 접근 확인
 
C:\Users\kang>telnet 1.1.1.1 4786
 
4) 스위치에서 Smart Install Client 기능 비활성화
test# conf t
Enter configuration commands, one per line.  End with CNTL/Z.
test(config)# no vstack
test(config)# do sh vstack config
Role: Client (SmartInstall disabled)   // disable일 경우
Vstack Director IP address: 0.0.0.0
 
*** Following configurations will be effective only on director ***
Vstack default management vlan: 1
Vstack start-up management vlan: 1
Vstack management Vlans: none
Join Window Details:
         Window: Open (default)
         Operation Mode: auto (default)
Vstack Backup Details:
         Mode: On (default)
         Repository:
 
5) 스위치 관련 포트 활성화 여부 확인(외부에서 접근 테스트 진행)

 
참조URL1 : https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=27106
참조URL2 : https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2