Relk's 工作手札

在 Cloud-Native 汪洋中載浮載沉的 SRE - Service Restart Engineer

0%

[隨筆] Cisco Smart Install 漏洞處理紀錄

如何檢查設備是否受到影響

影響的Switch列表: (65xx/ 45xx/3xxx / 29xx 系列)

手動確認設備是否開啟 Smart Install:

1
2
switch# show vstack config | inc Role
Role: Client (SmartInstall enabled)

探針測試:
Windows 請安裝 Python 2.7 後,使用 cmd 執行以下命令

1
smi_check.py [-h] -i IP [-p PORT]

下載:
https://github.com/Cisco-Talos/smi_check

解決方法

  1. 升級 IOS 版本
  2. 手動關閉 Smart Install
    switch(config)# no vstack
  3. 建立 Firewall Policy (禁止連線到 switch的 TCP 4786)
  4. 若必須要使用請在 Switch 上設定 ACL 限定來源
    1
    2
    3
    4
    ip access-list extended SMI_HARDENING_LIST
    permit tcp host 10.10.10.1 host 10.10.10.200 eq 4786
    deny tcp any any eq 4786
    permit ip any any

參考資料

Follow me at the links below