Zabbix预防思科设备Smart Install的远程代码执行漏洞的方法

近日有大量思科交换机因漏洞被攻击，被攻击的设备出现配置被清空的情况。研究人员在 Smart InstallClient 代码中发现一个缓冲区堆栈溢出漏洞。攻击者利用这个漏洞可以不经身份验证远程执行任意代码。也就是说，攻击者能够完全控制受漏洞影响的网络设备。

该漏洞将影响所有支持SmartInstall Client 功能的设备，可以尝试执行以下命令，检测网络设备是否有SmartInstall Client 功能：

switch>show vstack config

Role:Client(SmartInstall enabled)

VstackDirectorIP address: 0.0.0.0

switch>show tcp brief all

TCBLocalAddress Foreign Address (state)

0344B794*.4786 *.* LISTEN

0350A018*.443 *.* LISTEN

03293634*.443*.* LISTEN

03292D9C*.80*.* LISTEN

03292504*.80*.* LISTEN

支持 Smart Install Client 的设备都受到漏洞影响，包括下列：

Catalyst4500 Supervisor Engines

Catalyst3850 Series

Catalyst3750 Series

Catalyst3650 Series

Catalyst3560 Series

Catalyst2960 Series

Catalyst2975 Series

IE2000

IE3000

IE3010

IE4000

IE4010

IE5000

SM-ES2SKUs

SM-ES3SKUs

NME-16ES-1G-P

SM-X-ES3SKUs

从故障处理的角度分为三个阶段：

临时处置措施：

关闭协议

switch#conf t

switch(config)#no vstack

switch#wr

根治：

联系思科获取最新补丁

监控预防：

乐维监控团队从2011年开始做Zabbix二次开发，对于如此强大的开源监控平台，肯定可以从工具的角度做到配置备份，并且如有配置变更告警的设置，具体操作如下：

Zabbix监测网络设备

1. 通过ssh或者telnet脚本模拟登录交互然后放入Zabbix外部检查目录下

2. 通过Zabbix的监控项创建外部检查监控项（这里用telnet做测试SSH原理一样）

3. 创建Cisco对象，并输入相应宏参数到脚本

4. 查看最新数据

5. 尝试修改配置（为了达到测试效果，采集频率改为60秒）