当前位置: 首页 > 系统安全, 网络, 资讯 > 正文

Cisco SmartInstall 高危漏洞导致的交换机被攻击

[摘要] 安全无小事!作为运维人员要时刻关注你的系统、服务、应用、设备等等是否存在漏洞,漏洞无处不在。多关注下安全论坛、设备厂家、安全公司等曝出的各种高位漏洞吧,没准哪个漏洞会让你被虐的体无完肤!下面是我昨天亲身经历的由于Cisco思科交换机的( Cisco SmartInstall )漏洞导致整个配置被清空…

整个处理过程可谓惊心动魄,丝毫不亚于黑客小说里面的情节,作为运维人员被人暴菊的确不是意见光彩的事情,但是我还是把整个过程写出来,记录下痛苦与残酷,也是给自己一个警醒。

时间:2018年4月7日凌晨1点

地点:北京

人物:苦逼的运维小二

清明节有三天的小长假,一向不懂浪漫的IT屌丝男还是提前定了个农家院,计划带着老婆和孩子在四月五日去爬长城。虽然天空不作美,四月飞雪,漫天迷雾,但是慕田峪长城之行还是非常愉快,孩子是第一次爬长城,加上长城上大雪纷飞,玩的真叫一个痛快。

四月六日返城,到家稍作修整便继续了平时枯燥和繁琐的生活中来,跟以往一样,我还是习惯于晚睡,或许跟运维工作养成的习惯有关吧,总是把神经绷的紧紧的。

四月七日凌晨1点左右,收到了监控报警,某个IP不通,接着陆续有收到类似的几条,第一反应就是出问题了,赶紧打开电脑,立即查看下报警平台,只见有问题的主机和服务红成一片,于是先把监控报警发送暂停【为了节省一些短信费用 🙁 】。X机房的堡垒机连接不上,X机房内部的监控平台打不开,刚才发出报警的是异地机房和第三方监控,初步断定是X机房的网络故障。

从本地和其他机房的主机测试到X机房的连通性都失败,看来确实是机房网络挂了。立即给机房客服发邮件,并电话联系机房值班人员去现场查看,反馈回来有三点:

一、机房没停电;

二、服务器设备都在运行;

三、主交换机(Cisco设备)上联光纤口灯正常,但是到其他机柜交换机的口都不亮。

我们主交换机跟IDC采用的路由模式,我这边可以ping通对端的路由地址,但是无法ping通我方路由地址,看来问题出在我们设备这里。授权机房值班连接Console口到主交换机,我这边远程查看,发现交换机居然不用输入enable密码直接进去了,此刻心里咯噔了一下。show run发现交换机的配置没有了,show start时给了我一个惊喜:

哈哈,被黑了,此刻送给自己一首歌曲《凉凉》

机房提供的远程操作非常卡顿,于是给机房发了入室维护,随即下楼打车飞奔机房,此时时间在凌晨2点50左右,下过雪的北京还是很冷,温度只有2度,穿着羽绒服还是赶到彻身的寒冷,但是此刻我的内心的冰冷尤甚!

交换机的配置有备份,到机房后连接console线很快将主交换机的配置恢复了,但是三层到二层做的port-channel是否起不来,二层交换机的上联口一直是err-disabled,端口灯不亮,于是尝试重新创建port-channel,几经折腾终于把所有的po都给起来了。报警也逐渐恢复,此刻时间为四月七日凌晨4点46分。

由于有了星条旗的炫耀,基本比较确定是交换机被黑了,出于不爽还是狠狠地追问了机房是否有对我们交换机进行过出厂设置,对方也是一脸蒙逼,矢口否认,哈哈,不难为机房小哥们了,苦逼何必难为苦逼。

搜索了下Cisco设备的最新漏洞和相关新闻,发现了这篇:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2?from=timeline

漏洞的级别被定义为9级(10级满分),看来确实很重视了。具体就是Cisco的Smart Install feature是默认启动的,开启了TCP 4786端口,这个端口存在拒绝服务式攻击,可以获取权限操作交换机设备,而关键的是这个服务是被人们忽略掉的,之前都还以为配置了ACL限制了ssh登录和http服务就万事大吉了,现实远比想象的更加残酷!

下面是对Cisco交换机的修复中我的具体操作步骤。

#看看交换机的外网IP是否开启了4786端口
$ telnet xxx.xxx.xxx.xxx 4786
Trying xxx.xxx.xxx.xxx...
Connected to xxx.xxx.xxx.xxx.
Escape character is '^]'.
^]
telnet> quit
Connection closed.

#查看交换机的version是否在影响的范围内
Switch# show version
Switch Ports Model              SW Version            SW Image
------ ----- -----              ----------            ----------
     1 30    WS-C3750X-24       12.2(55)SE10          C3750E-UNIVERSALK9-M
*    2 30    WS-C3750X-24       12.2(55)SE10          C3750E-UNIVERSALK9-M

查看交换机的SmartInstall状态
Switch#show vstack config | inc Role
 Role: Client (SmartInstall enabled)

Switch#conf t
Enter configuration commands, one per line.  End with CNTL/Z.

#关闭SmartInstall
Switch(config)#no vstack
Switch(config)#end
Switch#show vstack config | inc Role
 Role: Client (SmartInstall disabled)
 
#再次测试下端口开启情况
$ telnet xxx.xxx.xxx.xxx 4786
Trying xxx.xxx.xxx.xxx...

至此,本以为这个小风波告一段落,后面的剧情更加狗血,处理之后跟机房小哥聊了会儿天,等到凌晨5点左右出了机房去做首班地铁,顺手发了一个朋友圈,一是记录下此刻的心情( 也可能是主要是想让各位领导们看看,哥们来加班了!:) ),地铁到家后补了一觉,等我醒来已经是上午11点,打开朋友圈发现炸锅了,收到了很多热情的祝福:恭喜!你们被中招了?保重啊大兄弟!朋友圈还有很多厂家和IDC的也都发安全提醒,比如世纪互联、比如蓝汛,估计他们客户挂了一大批。

一哥们的公司也遇到了同样的问题,他们机房在石家庄,只能远程操作,我把我遇到的问题和操作经过都详细说了一遍,还好,他们鏖战12个多小时终于恢复了 🙁

故事结束可以收尾了,这样的经历很刺激,但是不想再来第二次了,还是那句话,安全无小事,虽然不清楚黑客这么做的目的何在,清空配置他们得了怎样的利益,反正这样很不地道,可谓是损人不利己!但是这个usafreedom还是不免让人浮想联翩,难道跟近期的贸易战有关?多年前可是有双方的黑客大战,很多政府和企业的网站躺枪,总之作为普通的运维来说还是关注好自己的事情,修炼好内功,把系统、网络和安全都搞好,不让敌人有可乘之机才是王道!

本文固定链接: https://sudops.com/cisco-smartinstall-attacked.html | 运维速度

该日志由 u2 于2018年04月08日发表在 系统安全, 网络, 资讯 分类下,
原创文章转载请注明: Cisco SmartInstall 高危漏洞导致的交换机被攻击 | 运维速度
关键字: ,

报歉!评论已关闭.