CVE-2017-12232

Cisco IOS software

ВЕРОЯТНОСТЬ 1.0%
Дата обнаружения

2022-03-03

Официальное описание

A vulnerability in the implementation of a protocol in Cisco Integrated Services Routers Generation 2 (ISR G2) Routers running Cisco IOS could allow an unauthenticated, adjacent attacker to cause an affected device to reload, resulting in a denial of service.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в реализации протокола IGMP (Internet Group Management Protocol) в маршрутизаторах Cisco ISR G2. Злоумышленник, находящийся в том же сегменте сети (смежный узел), может отправить на целевой маршрутизатор специально сформированный IGMP-пакет. Это приводит к сбою в обработке пакета и аварийной перезагрузке устройства (DoS).

Как исправить

Установите исправленную версию Cisco IOS. Выбор конкретного обновления зависит от вашей текущей версии ПО и аппаратной платформы.

  1. Определите текущую версию ПО и модель устройства: bash show version Обратите внимание на строки System image file и cisco (модель, например, Cisco 2911).

  2. Установите исправленную версию. Для большинства затронутых версий требуется обновление до одного из следующих исправленных релизов или новее:

    • 15.1(4)M12
    • 15.2(4)M8
    • 15.4(3)M5
    • 15.5(3)S5
    • 15.6(3)M2
    • 16.3.6
    • 16.4.5
    • 16.5.2
    • 16.6.1

    Пример команды для копирования и загрузки нового образа (замените tftp://192.168.1.100/c2900-universalk9-mz.SPA.156-3.M2.bin на актуальный путь к вашему файлу образа): bash copy tftp://192.168.1.100/c2900-universalk9-mz.SPA.156-3.M2.bin flash: boot system flash:c2900-universalk9-mz.SPA.156-3.M2.bin write memory reload

    Важно: Перед обновлением проверьте совместимость образа с вашей конкретной моделью маршрутизатора на сайте Cisco и создайте резервную копию конфигурации.

Временное решение

Если немедленное обновление невозможно, ограничьте обработку IGMP-трафика.

  1. Отключите IGMP Snooping на интерфейсах, где он не требуется (например, на интерфейсах, обращенных к недоверенным сетям или клиентам). bash interface GigabitEthernet0/1 no ip igmp snooping

  2. Настройте ACL (Access Control List) для фильтрации IGMP-трафика от недоверенных источников, если известны доверенные multicast-маршрутизаторы. bash ! Создаем ACL, разрешающий IGMP только от доверенного источника (например, 10.1.1.1) access-list 150 permit igmp host 10.1.1.1 any access-list 150 deny igmp any any ! Применяем ACL на входящий трафик интерфейса interface GigabitEthernet0/0 ip access-group 150 in

  3. Используйте контроль доступа к портам (Port Security, 802.1X) на коммутаторах уровня доступа, чтобы предотвратить подключение неавторизованных устройств в тот же широковещательный домен, что и уязвимый маршрутизатор.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей