CVE-2017-12231

Суть уязвимости

Уязвимость в реализации NAT в Cisco IOS позволяет удаленному злоумышленнику без аутентификации вызвать отказ в обслуживании (DoS) на устройстве. Атака возможна через отправку специально сформированных IP-пакетов на интерфейс, где включен NAT. Успешная эксплуатация приводит к перезагрузке устройства.

Как исправить

Установите исправленную версию ПО Cisco IOS. Конкретная версия зависит от вашего основного релиза (Maintenance Release). Обновитесь до одной из следующих (или более поздних) версий:

• Для IOS 15.6: Обновитесь до версии 15.6(3)M или выше.
• Для IOS 15.7: Обновитесь до версии 15.7(3)M или выше.
• Для IOS 15.8: Обновитесь до версии 15.8(3)M или выше.

Проверьте текущую версию:

show version | include Software,

Процедура обновления (пример): 1. Скачайте исправленный образ с сайта Cisco. 2. Загрузите его на устройство (например, через TFTP). 3. Укажите его как загрузочный файл и перезагрузитесь.

copy tftp://<server_ip>/<new_image_name>.bin flash:
configure terminal
boot system flash:<new_image_name>.bin
end
write memory
reload

Временное решение

Если немедленное обновление невозможно, примените одно из следующих решений:

1. Отключите NAT на внешних интерфейсах, если это допустимо для вашей сети. Найдите интерфейсы с конфигурацией ip nat outside и удалите эту команду. bash configure terminal interface <interface_name> no ip nat outside end write memory

2. Ограничьте доступ к уязвимым интерфейсам с помощью ACL (Access Control List), разрешив трафик только из доверенных источников. bash configure terminal ip access-list extended BLOCK-NAT-EXPLOIT permit ip <trusted_network> <wildcard> any deny ip any any log interface <outside_interface_name> ip access-group BLOCK-NAT-EXPLOIT in end write memory

Важно: Временные решения снижают функциональность или доступность. Планируйте установку официального патча как можно скорее.