近日有大量思科交換機(jī)因漏洞被攻擊，被攻擊的設(shè)備出現(xiàn)配置被清空的情況。研究人員在 Smart InstallClient 代碼中發(fā)現(xiàn)一個(gè)緩沖區(qū)堆棧溢出漏洞。攻擊者利用這個(gè)漏洞可以不經(jīng)身份驗(yàn)證遠(yuǎn)程執(zhí)行任意代碼。也就是說，攻擊者能夠完全控制受漏洞影響的網(wǎng)絡(luò)設(shè)備。

該漏洞將影響所有支持SmartInstall Client 功能的設(shè)備，可以嘗試執(zhí)行以下命令，檢測網(wǎng)絡(luò)設(shè)備是否有SmartInstall Client 功能：

switch>show vstack config

Role:Client(SmartInstall enabled)

VstackDirectorIP address: 0.0.0.0

switch>show tcp brief all

TCBLocalAddress Foreign Address (state)

0344B794*.4786 *.* LISTEN

0350A018*.443 *.* LISTEN

03293634*.443*.* LISTEN

03292D9C*.80*.* LISTEN

03292504*.80*.* LISTEN

支持 Smart Install Client 的設(shè)備都受到漏洞影響，包括下列：

Catalyst4500 Supervisor Engines

Catalyst3850 Series

Catalyst3750 Series

Catalyst3650 Series

Catalyst3560 Series

Catalyst2960 Series

Catalyst2975 Series

IE2000

IE3000

IE3010

IE4000

IE4010

IE5000

SM-ES2SKUs

SM-ES3SKUs

NME-16ES-1G-P

SM-X-ES3SKUs

從故障處理的角度分為三個(gè)階段：

臨時(shí)處置措施：

關(guān)閉協(xié)議

switch#conf t

switch(config)#no vstack

switch#wr

根治：

聯(lián)系思科獲取最新補(bǔ)丁

監(jiān)控預(yù)防：

樂維監(jiān)控團(tuán)隊(duì)從2011年開始做Zabbix二次開發(fā)，對(duì)于如此強(qiáng)大的開源監(jiān)控平臺(tái)，肯定可以從工具的角度做到配置備份，并且如有配置變更告警的設(shè)置，具體操作如下：

Zabbix監(jiān)測網(wǎng)絡(luò)設(shè)備

1. 通過ssh或者telnet腳本模擬登錄交互然后放入Zabbix外部檢查目錄下

2. 通過Zabbix的監(jiān)控項(xiàng)創(chuàng)建外部檢查監(jiān)控項(xiàng)（這里用telnet做測試SSH原理一樣）

3. 創(chuàng)建Cisco對(duì)象，并輸入相應(yīng)宏參數(shù)到腳本

4. 查看最新數(shù)據(jù)

5. 嘗試修改配置（為了達(dá)到測試效果，采集頻率改為60秒）