> [!danger] CVSS 9.8 - Crítico > Buffer overflow no Smart Install da Cisco permite execução remota de código sem autenticação via TCP 4786. > [!warning] CISA KEV - Exploração Ativa Confirmada > Adicionada ao catálogo CISA KEV em 2021-11-03. Exploração ativa observada por múltiplos atores APT. > [!success] Patch Disponível > Cisco lançou patches em março de 2018. Desabilitar Smart Install onde não necessário. # CVE-2018-0171 - Cisco Smart Install RCE (Buffer Overflow) > CVSS: 9.8 · EPSS: 91% · Vendor: Cisco · Patch: Sim · CISA KEV: Sim ## Resumo **CVE-2018-0171** é uma vulnerabilidade crítica de execução remota de código na feature **Smart Install** do [[_cisco|Cisco]] IOS e IOS XE. A falha decorre de válidação inadequada de dados de pacotes no serviço Smart Install, permitindo que atacantes não autenticados causem buffer overflow em dispositivos de rede expostos na porta TCP 4786. A exploração bem-sucedida permite ao atacante executar código arbitrário no dispositivo, recarregar o equipamento (DoS) ou causar um loop indefinido que aciona um watchdog crash. A empresa de segurança Embedi identificou aproximadamente 250.000 dispositivos vulneráveis expostos na internet no momento da divulgação. **Pontuação de risco:** - CVSS v3.1: **9.8** (Crítico) - EPSS: **91%** de probabilidade de exploração nos próximos 30 dias - CISA KEV: adicionado em 2021-11-03 - Exploit público: PoC públicado pela Embedi em 2018 ## Detalhes Técnicos O Smart Install é um mecanismo plug-and-play da Cisco para configuração zero-touch de switches de camada de acesso. A vulnerabilidade reside na válidação inadequada de dados em pacotes enviados ao serviço Smart Install na porta TCP 4786: 1. **Vetor de ataque:** O atacante envia um pacote Smart Install malformado para a porta TCP 4786 do dispositivo alvo 2. **Buffer overflow:** A falha de válidação causa overflow no buffer do dispositivo 3. **Impacto potencial:** Execução de código arbitrário, reload do dispositivo ou crash por watchdog 4. **Sem autenticação:** O protocolo Smart Install não exige autenticação, tornando a exploração direta Dispositivos configurados como **Smart Install director** não são afetados - apenas clientes Smart Install são vulneráveis. ## Exploração **Status atual:** Exploração ativa confirmada por múltiplos grupos APT e atores de ameaça. A Embedi públicou prova de conceito e a vulnerabilidade foi rapidamente adotada por atores de ameaça patrocinados por estados nacionais. O FBI e CISA emitiram alertas sobre exploração ativa por grupos nation-state utilizando esta vulnerabilidade para comprometer infraestrutura de rede crítica. **Grupos de ameaça utilizando:** - [[g0007-apt28]] - grupo russo (Fancy Bear) que explorou a vulnerabilidade em campanhas de espionagem - [[g0069-mango-sandstorm]] - grupo iraniano com histórico de exploração de dispositivos Cisco - Grupos de ameaça alinhados à China também exploram regularmente vulnerabilidades em equipamentos de rede Cisco **TTPs relacionadas:** - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - exploração de switches Cisco expostos - [[t1498-network-denial-of-service|T1498 - Network Denial of Service]] - reload forçado de dispositivos ## Contexto LATAM > [!latam] Cisco Smart Install e Infraestrutura de Rede na América Latina > O Cisco IOS e IOS XE dominam a infraestrutura de switches e roteadores corporativos e governamentais na América Latina. O feature **Smart Install** era amplamente ativado por padrão em deployments de redes universitárias, órgãos públicos e provedores de internet de porte médio no **Brasil, México e Colômbia** — frequentemente sem o conhecimento das equipes de segurança. > > Em 2018, o CERT.br e equipes de resposta a incidentes regionais identificaram varreduras massivas na porta TCP 4786 direcionadas a endereços IP latino-americanos, associadas à exploração do CVE-2018-0171. Grupos APT russos e iranianos utilizaram dispositivos Cisco comprometidos como infraestrutura de pivô para campanhas direcionadas à região — comprometendo equipamentos de acesso a redes de infraestrutura crítica como energia e telecomúnicações. ## Mitigação **Patch oficial:** - Advisory Cisco: [cisco-sa-20180328-smi2](https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2) - Patches disponibilizados em 28 de março de 2018 **Ações recomendadas:** 1. Aplicar patches do IOS/IOS XE imediatamente 2. **Desabilitar Smart Install** onde não for necessário: `no vstack` 3. Bloquear acesso externo à porta TCP 4786 via ACL 4. Verificar se o dispositivo está configurado como cliente Smart Install: `show vstack config` 5. Monitorar tráfego anômalo na porta TCP 4786 ## Notas Relacionadas **Atores explorando:** [[g0007-apt28]] · [[g0069-mango-sandstorm]] **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] **Setores em risco:** [[government]] · [[critical-infrastructure|infraestrutura crítica]] · [[telecommunications|telecomúnicações]] ## Referências - [NVD - CVE-2018-0171](https://nvd.nist.gov/vuln/detail/CVE-2018-0171) - [Cisco Security Advisory](https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2) - [Tenable - CVE-2018-0171 PoC](https://www.tenable.com/blog/proof-of-concept-and-patch-for-critical-cisco-ios-vulnerability-CVE-2018-0171) - [CISA KEV Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog)