CVE-2017-12234

Cisco IOS software

ВЕРОЯТНОСТЬ 6.5%
Дата обнаружения

2022-03-03

Официальное описание

There is a vulnerability in the implementation of the Common Industrial Protocol (CIP) feature in Cisco IOS could allow an unauthenticated, remote attacker to cause an affected device to reload, resulting in a denial of service.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в реализации функции Common Industrial Protocol (CIP) в Cisco IOS позволяет удаленному злоумышленнику без аутентификации отправить специально созданный CIP-пакет на уязвимое устройство. Это приводит к сбою в обработке пакета, вызывающему перезагрузку устройства (Denial of Service, DoS).

Как исправить

Установите исправленную версию Cisco IOS. Выбор конкретного обновления зависит от вашей текущей версии ПО и серии оборудования. Обновитесь до версии, в которой уязвимость устранена.

  1. Определите текущую версию IOS: bash show version

  2. Загрузите и установите исправленное ПО. Уязвимость устранена в следующих версиях (и более поздних) для соответствующих серий:

    • Для Cisco Industrial Ethernet 4000 Series Switches: Версия 15.2(5)E2
    • Для Cisco IE 2000 Series Switches: Версия 15.2(5)E2
    • Для Cisco CGR 1000 Series Routers: Версия 15.6(3)M
    • Для Cisco 800 Series Industrial ISRs: Версия 15.6(3)M

    Скачайте необходимое ПО с Software Center Cisco. Процесс обновления зависит от платформы, обычно включает загрузку образа на флеш-память и изменение загрузочной переменной.

    Пример для многих устройств (после загрузки образа): bash configure terminal boot system flash0:имя_нового_образа.bin end write memory reload

Временное решение

Если немедленное обновление невозможно, ограничьте доступ к CIP-портам (TCP/UDP 44818) и управлению устройством.

  1. Используйте списки контроля доступа (ACL), чтобы разрешить доступ к порту 44818 только с доверенных промышленных систем и сетей. bash ! Пример ACL для ограничения доступа к порту 44818 access-list 150 permit tcp <trusted_network> <wildcard> host <device_ip> eq 44818 access-list 150 permit udp <trusted_network> <wildcard> host <device_ip> eq 44818 access-list 150 deny tcp any host <device_ip> eq 44818 access-list 150 deny udp any host <device_ip> eq 44818 access-list 150 permit ip any any ! interface GigabitEthernet0/0 ip access-group 150 in

  2. Отключите функцию CIP, если она не используется в вашей сети. bash configure terminal no cip enable end write memory

  3. Защитите управление устройством: Убедитесь, что доступ по SSH/HTTPS/Snmp разрешен только с доверенных адресов через соответствующие ACL на виртуальных терминальных линиях (vty) и интерфейсах управления.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей