安全加报道过, 受“维基解密 cia”事件影响 思科将给公司300多台交换机打补丁 修补思科集群管理协议中的漏洞 ,10天过去了,还是没有看到思科给出的补丁。今天绿盟科技发布了安全威胁通告,给出了漏洞检测方法及规避方案,同时提示目前思科官方还没有提供可用的相关补丁用来升级解决此问题,请时刻关注思科官方发布的补丁和最新更新。通告提要如下,全文见附件下载。
Cisco IOS&IOS XE Software CMP 远程执行代码漏洞 安全威胁通告
美国时间2017年3月17日,思科官方网站发布公告称Cisco IOS&IOS XE Software 集群管理协议(Cluster Management Protocol)存在远程执行代码漏洞(CVE-2017-3881,CNNVD-201703-840)。该漏洞是思科在研究CIA泄漏文档“穹顶7号”的过程中发现。攻击者可以在未授权的情况下远程重启受影响的设备或越权执行代码。
造成该漏洞的主要原因是由于没有限制CMP-specific Telnet仅可用于内部与本地的集群成员之间的通信,而是可用于连接任何受影响的设备,以及对于变形过的CMP-specific Telnet选项设置的错误处理。
当用Telnet连接一个受影响设备的过程中,攻击者可以通过发送一个变形过的CMP-specific Telnet选项设置来建立与该设备的连接,利用此方法攻击者可以远程执行任意代码来完全控制此设备或者使得该设备重启。
相关链接如下:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170317-cmp
影响范围
受影响的产品及版本
思科公布目前有318款产品受此漏洞影响,详细产品列表见文后全文下载。
不受影响的产品
- 目前没有其他已知的产品受此漏洞影响。
- 运行Cisco IOS Software 但是没有在上述受影响列表内的设备不受影响。
- 运行Cisco IOS XE Software但是不包含CMP协议子系统的产品不受影响。
检测方法
运行Cisco IOS 与IOS XE 软件的设备均需要确认Telnet的设置选项是否为接受任何连接请求。运行Cisco IOS XE软件的设备还需要额外确认软件镜像中是否存在CMP子系统。 更多详情见文末全文下载
规避方案
- 1) 禁用Telnet协议
- 思科官方建议禁用Telnet协议而采用SSH协议来处理连接请求。具体的操作方法见如下链接:
- http://www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html
- 2) 不方便禁用Telnet的用户可以创建设备层次的VTY访问白名单或者基础设施访问控制名单(iACLs)。具体操作方法可参考如下链接:
- http://www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html#anc41
- http://www.cisco.com/c/en/us/support/docs/ip/access-lists/43920-iacl.html
- 3) 用户可以利用思科官方的检测工具来检测,地址如下:
- http://tools.cisco.com/security/center/selectIOSVersion.x
注:
目前思科官方还没有提供可用的相关补丁用来升级解决此问题,请时刻关注思科官方发布的补丁和最新更新。
《Cisco IOS&IOS XE Software CMP 远程执行代码漏洞 安全威胁通告》全文下载
点击图片下载
原文发布时间:2017年3月30日
本文由:绿盟科技发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/cisco-iosios-xe-software-cmp-rce-vulnerability-detection-and-evasion
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站