Cisco IOS和IOS XE 新漏洞檢測與修復

Cisco IOS/IOS XE 新漏洞檢測與修復

---

---

CVE-2018-0150 Cisco IOS XE 存在默認弱口令

---

漏洞影響：

默認弱口令可以導致攻擊者直遠程登錄控制Cisco設備。受影響版本，Cisco IOS XE 16.x

修復方案：

    router# no username cisco

    switcher# no username cisco

或者刪除cisco賬戶也可以

CVE-2018-0151 Cisco IOS/IOS XE QoS存在漏洞

---

漏洞影響：

UDP端口18999開啟時，可能被經過精心構造的惡意數據攻擊，導致任意代碼執行或DoS

漏洞檢測：

Router> show udp

Proto  Remote   Port   Local   Port  In Out  Stat TTY OutputIF
17     0.0.0.0   0    --any--  18999  0   0    11   0

修復方案：

不是用DMVPN功能的QoS用戶可以做類似如下配置

! -- ACL for CoPP Undesirable UDP class-map
access-list 199 permit udp any any eq 18999

! -- CoPP Undesirable UDP class-map
class-map match-all undesirable-udp
 match access-group 199

! -- Undesirable UDP Policy Map
policy-map drop-udp
 class undesirable-udp
  drop

! -- Apply Undesirable UDP policy Map
control-plane
 service-policy input drop-udp

使用該功能的請升級最新版本

CVE-2018-0171 IOS/IOS XE smart-Install 遠程代碼執行漏洞

---

漏洞簡介：

smart Install 組件存在問題導致遠程代碼執行漏洞

漏洞檢測：

檢測：交換機上查看

switch1# show vstack config
 Role: Client (SmartInstall enabled)
switch2# show vstack config
 Capability: Client
 Oper Mode: Enabled
 Role: Client

漏洞修復：

關閉智能功能安裝no vstack