安全公告/Safety Bulletin

漏洞概述： 

mart Install漏洞概况
近日,国内诸多思科交换机设备用户曝光多个设备被黑客入侵的情况。被攻击的Cisco设备的配置文件 startup.config 会被覆盖为“Don't mess with our elections.... -JHTusafreedom_jht@tutanota.com”,并可导致Cisco设备重启
IE 5000
ME 3400E Series Ethernet Access
ME 3400 Series Ethernet Access
断网。
该漏洞是由于Cisco IOS Smart Install Client 在 TCP(4786) 端口与 Smart Install Director 进行通信时存在缓冲区溢出导致任意代码执行。
关于smart install漏洞的处理方法如下面邮件，如有用户需要可以提供给用户。
其中，可能受到影响的思科设备类型有：
Catalyst 2960
Catalyst 2960-C
Catalyst 2960-CX
Catalyst 2960-L
Catalyst 2960-P
Catalyst 2960-S
Catalyst 2960-SF
Catalyst 2960-X
Catalyst 2960-XR
Catalyst 2975
Catalyst 3560
Catalyst 3560-C
Catalyst 3560-CX
Catalyst 3560-E
Catalyst 3560-X
Catalyst 3650
Catalyst 3750
Catalyst 3750 Metro Series
Catalyst 3750-E
Catalyst 3750-X
Catalyst 3850
Catalyst 4500 Supervisor Engine, 6E, 6LE, 7E, 7LE, 8E, 8LE
Catalyst 6500 Supervisor Engine 2T-10GE
IE 2000
IE 3000
IE 3010
IE 4000
IE 4010
NME-16ES-1G-P
SM-ES2 SKUs
SM-ES3 SKUs
SM-X-ES3 SKUs
 不受影响系统及应用版本
1、手工关闭了Cisco Smart Install管理协议，或模式为Director模式的Cisco设备均不受影响。(注：所有相关产品在出厂时默认开启了该项功能)
2、具备以下软件版本的设备不在影响范围之内：
Catalyst 2960系列交换机：15.2(2)E8,15.2(4)E6,15.2(6)E1及后续发布的IOS版本
Catalyst 3560/3750系列交换机：15.2(4)E6及后续发布的IOS版本
Catalyst 3650/3850系列交换机：16.3.6，3.6.8E及后续发布的IOS-XE版本
Catalyst 4500系列交换机：3.6.8E及后续发布的IOS-XE版本
Catalyst65 Supervisor Engine 2T-10GE：15.2(1)SY6及后续发布的IOS版本
IE系列交换机：15.5(1)SY1及后续发布的IOS版本
ME系列交换机：12.2(60)EZ12及后续发布的IOS版本

解决方案：

对于可能存在“Cisco Smart Install远程命令执行”漏洞的设备，思科提供如下的检查方法，快速定位使用设备是否存在该项漏洞的可能性。
方法一：通过命令行命令确认Smart Install Client功能是否开启
在设备的命令行输入命令可以直接检查Smart Install Client功能是否开启，命令执行结果如下所示：
switch>show vstack config | inc Role
Role: Client (SmartInstall enabled)
 
方法二：通过命令行命令确认Smart Install Client所使用的TCP端口是否激活
对于部分软件版本过于陈旧的设备，命令行不支持“vstack”相关命令，但也可能存在该功能漏洞，可以通过直接检查TCP端口4786是否激活的方式，用于确认是否可能存在该漏洞，命令执行结果如下所示：
switch>show tcp brief all
TCB       Local Address            Foreign Address             (state)
05FD9F98  0.0.0.0.4786               *.*                         LISTEN
0568FFFC  0.0.0.0.443                *.*                         LISTEN
0568F038  0.0.0.0.443                *.*                         LISTEN
0568E428  0.0.0.0.80                 *.*                         LISTEN
0568D818  0.0.0.0.80                 *.*                         LISTEN
对于可能存在“Cisco Smart Install远程命令执行”漏洞的设备，思科提供如下的技术手段，规避该漏洞所带来的风险。
 方法一：将设备软件升级到最新软件版本
通过升级设备所使用的软件版本，可以修复设备的该漏洞，所需的软件版本，可在Cisco IOS Software Checker网站上进行查询，也可以联系思科代理商或是思科公司获取相关的软件。
 方法二：关闭“Smart Install Client”功能
可以采用手工关闭“Smart Install Client”的功能的方法，在线的规避风险，关闭该功能的命令及运行结果如下所示：
switch(config)#no vstack
switch#show vstack config | inc Role
Role: Client (SmartInstall disabled)

漏洞概述： 

Cisco Adaptive Security Appliance（ASA）是Cisco Systems 提供的一系列集成安全解决方案，产品线包括路由器、服务器、防火墙、VPN 网关和 IDS/IPS 设备。Cisco Firepower Threat Defense（FTD）是一个统一的安全解决方案，提供针对复杂威胁的全面保护。

2024年4月25日，启明星辰VSRC监测到Cisco发布针对其防火墙平台的攻击事件响应公告，威胁者通过利用Cisco ASA 和 FTD软件中的多个漏洞进行攻击，以植入恶意软件、执行命令、并可能从受感染的设备中窃取数据。

CVE-2024-20353：Cisco ASA & FTD拒绝服务漏洞（高危）

Cisco ASA 和 FTD软件的管理和VPN Web服务器中存在拒绝服务漏洞，由于解析HTTP标头时错误检查不完整，未经身份验证的远程威胁者可以通过向目标web服务器发送恶意的HTTP请求来利用该漏洞，成功利用可能导致设备重新加载，从而导致拒绝服务。该漏洞的CVSS评分为8.6，目前已发现被利用。

CVE-2024-20359：Cisco ASA & FTD代码执行漏洞（高危）

Cisco ASA 和 FTD的某些功能中存在漏洞，由于从系统闪存读取文件时对文件验证不当，经过身份验证且具有管理员权限的本地威胁者可以通过将恶意设计的文件复制到受影响设备的disk0:文件系统来利用该漏洞，成功利用可能导致威胁者在下次重新加载设备后在受影响的设备上执行任意代码，且注入的代码可能会在设备重新启动后持续存在，从而导致持久本地代码执行。该漏洞的CVSS评分为6.0，目前已发现被利用。

CVE-2024-20358：Cisco ASA & FTD命令注入漏洞（中危）

Cisco ASA 和FTD中的 Cisco ASA恢复功能存在漏洞，由于备份文件的内容在恢复时未正确清理，经过身份验证且具有管理员权限的本地威胁者可以通过将恶意设计的备份文件恢复到受影响的设备来利用该漏洞，成功利用可能导致以root权限在底层系统上执行任意命令。