CVE-2017-12233

Суть уязвимости

Уязвимость в реализации функции Common Industrial Protocol (CIP) в Cisco IOS. Удаленный злоумышленник без аутентификации может отправить специально созданный CIP-пакет на уязвимое устройство, что приведет к его перезагрузке и отказу в обслуживании (DoS).

Как исправить

Установите исправленную версию Cisco IOS. Конкретная версия зависит от вашего основного релиза (Maintenance Release). Обновитесь до версии, указанной в таблице исправлений для вашего релиза, или новее.

1. Определите текущую версию ПО: bash show version

2. Загрузите исправленную версию с портала Cisco Software Center. Для большинства уязвимых версий исправления включены в следующие сборки и новее:

   • 15.6(3)M (для серии 15.6M)
   • 15.7(3)M (для серии 15.7M)
   • Для других серий (например, 15.1, 15.2, 15.3, 15.4, 15.5, 15.6) — обратитесь к официальному бюллетеню Cisco Cisco Security Advisory cisco-sa-20170927-cip для получения точного соответствия версий и ссылок для загрузки.

3. Установите новое ПО: bash copy tftp://<сервер>/<новый_образ.bin> flash: configure terminal boot system flash:<новый_образ.bin> end write memory reload

Временное решение

Если немедленное обновление невозможно, ограничьте доступ к CIP-портам (TCP/44818, UDP/2222, UDP/44818) с ненадежных сетей.

1. Настройте ACL (Access Control List) на интерфейсах: bash configure terminal ! Создайте ACL, разрешающую только доверенные источники access-list 150 deny udp any any eq 2222 access-list 150 deny udp any any eq 44818 access-list 150 deny tcp any any eq 44818 access-list 150 permit ip any any ! Примените ACL на входящий трафик интерфейса, "смотрящего" во внешнюю сеть interface GigabitEthernet0/0 ip access-group 150 in end write memory

2. Используйте брандмауэр периметра для блокировки доступа к портам TCP/44818, UDP/2222 и UDP/44818 из интернета или недоверенных сегментов сети.