近日有大量思科交換機(jī)因漏洞被攻擊紊选,被攻擊的設(shè)備出現(xiàn)配置被清空的情況啼止。研究人員在 Smart InstallClient 代碼中發(fā)現(xiàn)一個緩沖區(qū)堆棧溢出漏洞。攻擊者利用這個漏洞可以不經(jīng)身份驗證遠(yuǎn)程執(zhí)行任意代碼兵罢。也就是說献烦,攻擊者能夠完全控制受漏洞影響的網(wǎng)絡(luò)設(shè)備。
該漏洞將影響所有支持SmartInstall Client 功能的設(shè)備卖词,可以嘗試執(zhí)行以下命令巩那,檢測網(wǎng)絡(luò)設(shè)備是否有SmartInstall Client 功能:
switch>show vstack config
Role:Client(SmartInstall enabled)
VstackDirectorIP address: 0.0.0.0
switch>show tcp brief all
TCBLocalAddress Foreign Address (state)
0344B794*.4786 *.* LISTEN
0350A018*.443 *.* LISTEN
03293634*.443*.* LISTEN
03292D9C*.80*.* LISTEN
03292504*.80*.* LISTEN
支持 Smart Install Client 的設(shè)備都受到漏洞影響,包括下列:
Catalyst4500 Supervisor Engines
Catalyst3850 Series
Catalyst3750 Series
Catalyst3650 Series
Catalyst3560 Series
Catalyst2960 Series
Catalyst2975 Series
IE2000
IE3000
IE3010
IE4000
IE4010
IE5000
SM-ES2SKUs
SM-ES3SKUs
NME-16ES-1G-P
SM-X-ES3SKUs
從故障處理的角度分為三個階段:
臨時處置措施:
關(guān)閉協(xié)議
switch#conf t
switch(config)#no vstack
switch#wr
根治:
聯(lián)系思科獲取最新補(bǔ)丁
監(jiān)控預(yù)防:
樂維監(jiān)控團(tuán)隊從2011年開始做Zabbix二次開發(fā)此蜈,對于如此強(qiáng)大的開源監(jiān)控平臺即横,肯定可以從工具的角度做到配置備份,并且如有配置變更告警的設(shè)置裆赵,具體操作如下:
Zabbix監(jiān)測網(wǎng)絡(luò)設(shè)備
1. 通過ssh或者telnet腳本模擬登錄交互然后放入Zabbix外部檢查目錄下
2. 通過Zabbix的監(jiān)控項創(chuàng)建外部檢查監(jiān)控項(這里用telnet做測試SSH原理一樣)
3. 創(chuàng)建Cisco對象令境,并輸入相應(yīng)宏參數(shù)到腳本
4. 查看最新數(shù)據(jù)
5. 嘗試修改配置(為了達(dá)到測試效果,采集頻率改為60秒)
