【ANA】資訊設備疑存在遠端程式碼執行漏洞

         

事故類型        ANA-漏洞預警        發現時間        2018-03-30 00:00:00      

影響等級                           

[主旨說明:]【漏洞預警】資訊設備疑存在遠端程式碼執行漏洞    

[內容說明:]

轉發行政院國家資通安全會報技術服務中心 資安訊息警訊 NCCST-ANA-201803-0068

 

 

Cisco Smart Install提供網路交換器隨插即用配置和IOS Image 管理的功能。Cisco2018328日公布了該功能的漏洞(CVE-2018-0171),允許未經身份驗證之攻擊者利用TCP 4786通訊埠,執行指令並控制該設備,造成受影響之設備發生阻斷服務。透過Shodan查詢,教育部網路與學術網路中存在近千台Cisco設備使用公開IP,並開啟TCP 4786通訊埠可遭存取利用。

 

 

此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發

[影響平台:]

1. Catalyst 4500 Supervisor Engines

 

2. Catalyst 3850 Series

 

3. Catalyst 3750 Series

 

4. Catalyst 3650 Series

 

5. Catalyst 3560 Series

 

6. Catalyst 2960 Series

 

7. Catalyst 2975 Series

 

8. IE 2000

 

9. IE 3000

 

10. IE 3010

 

11. IE 4000

 

12. IE 4010

 

13. IE 5000

 

14. SM-ES2 SKUs

 

15. SM-ES3 SKUs

 

16. NME-16ES-1G-P

 

17. SM-X-ES3 SKUs

 

[建議措施:]

1. 盤點與檢視相關設備系統,確認設備是否受漏洞影響。若該設備為受影響之型號,請安裝最新之修補程式。

 

2. 相關設備系統應置於實體防火牆設備後端並設置防火牆規則,確認個別系統僅開放所需對外提供服務之通訊埠,過濾內外部異常網路連線。若無使用Smart Install功能之需求,建議關閉該功能。

 

3. 請開啟相關主機作業系統與應用程式日誌,並定期分析可疑行為(如:登入失敗、流量異常上升及非正常時間之登入行為)。

 

 

[參考資料:]

1. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2

 

2. https://embedi.com/blog/cisco-smart-install-remote-code-execution/

 

3. https://www.shodan.io/search?query=org%3ATANET+port%3A4786&page=1

 

4. https://www.shodan.io/search?query=org%3Amoec+port%3A4786

 

(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。