思科 Smart Install 是促进 LAN 交换机管理的思科 Smart Operations 解决方案的一个组件。使用了Smart Install 客户端的Cisco交换机默认会开启TCP 4786端口。使用了该组件的设备存在两个影响严重的漏洞，一个为该协议的滥用问题,一个为远程代码执行漏洞。

该客户端未进行任何鉴权，导致滥用 Smart Install 协议可能导致修改 TFTP服务器设置、通过 TFTP 窃取配置文件、更换 IOS 映像，甚至可能会执行IOS 命令。Cisco的Talos团队发布了针对该漏洞的测试与利用程序用于检查受影响的系统。最早对启用 SMI 设备（端口4786）的扫描工作始于2017年2月，扫描到的设备数量并在10月明显增多，而在2017年2月份思科发出最新警告后数量翻了一番。

另外一个是远程代码执行攻击者发送精心构造的数据包到该端口，就可能触发栈溢出漏洞，造成远程代码执行或者拒绝服务（DoS）攻击。其CVE编号为CVE-2018-0171。

2. 影响范围

目前确认受影响设备包括：

Cisco Catalyst 4500 SupervisorEngine 6L-E

Cisco IOS 15.2.2E6 (Latest,Suggested)

cat4500e-entservicesk9-mz.152-2.E6.bin(23-DEC-2016)

Cisco Catalyst 2960-48TT-L Switch

Cisco IOS 12.2(55)SE11 (Suggested)

c2960-lanbasek9-mz.122-55.SE11.bin(18-AUG-2016)

Cisco IOS 15.0.2-SE10a (Latest)

c2960-lanbasek9-mz.150-2.SE10a.bin(10-NOV-2016)

Cisco Catalyst 3850-24P-E Switch

Cisco IOS-XE 03.03.05.SE

cat3k_caa-universalk9.SPA.03.03.05.SE.150-1.EZ5.bin(03-NOV-2014)

可能受影响的设备包括：

Catalyst 4500 Supervisor Engines

Catalyst 3850 Series

Catalyst 3750 Series

Catalyst 3650 Series

Catalyst 3560 Series

Catalyst 2960 Series

Catalyst 2975 Series

IE 2000

IE 3000

IE 3010

IE 4000

IE 4010

IE 5000

SM-ES2 SKUs

SM-ES3 SKUs

NME-16ES-1G-P

SM-X-ES3 SKUs

3. 检测建议

检测是否存在漏洞

确认目标设备是否开启4786/TCP端口，如果存在可能收到影响，建议立即关闭。比如用nmap扫描目标设备端口：

此外，可以通过以下命令确认是否开启 Smart Install Client 功能：

如果您不确定您的漏洞是否受到影响，可以使用Cisco的Cisco IOS Software Checker进行检测：

https://tools.cisco.com/security/center/softwarechecker.x

4. 修复建议

1、思科交换机中，使用命令conf t进入特权模式，然后输入命令no vatack关闭Smart Install Client功能。

2、可以使用Cisco的Cisco IOS Software Checker检测：https://tools.cisco.com/security/center/softwarechecker.x

如果存在漏洞，请及时进行修复。

3、确认是否开启4786端口，如开启，请使用防火墙对端口进行访问限制。

4、使用官方提供的SMI_check.py 脚本进行检查，确认是否受影响。

https://github.com/Cisco-Talos/smi_check/

5. 参考链接

https://embedi.com/blog/cisco-smart-install-remote-code-execution/

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2