CVE-2017-12235

Cisco IOS software

ВЕРОЯТНОСТЬ 4.9%
Дата обнаружения

2022-03-03

Официальное описание

A vulnerability in the implementation of the PROFINET Discovery and Configuration Protocol (PN-DCP) for Cisco IOS could allow an unauthenticated, remote attacker to cause an affected device to reload, resulting in a denial of service.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в реализации протокола PROFINET Discovery and Configuration Protocol (PN-DCP) в Cisco IOS. Неаутентифицированный удаленный злоумышленник может отправить специально сформированный PN-DCP-пакет на уязвимое устройство, что приведет к его перезагрузке и отказу в обслуживании (DoS).

Как исправить

Установите исправленную версию ПО Cisco IOS. Выбор конкретного обновления зависит от вашей текущей версии и серии оборудования. Обновитесь до одной из следующих версий (или более поздней):

  • Для IOS 15.6(3)M и более ранних в ветке 15.6M: обновитесь до Cisco IOS Software Release 15.6(3)M2.
  • Для IOS 15.7(3)M и более ранних в ветке 15.7M: обновитесь до Cisco IOS Software Release 15.7(3)M или 15.7(3)M1 (уязвимость была устранена в этих исходных версиях).
  • Для других веток (например, 15.8M) проверьте Advisory Cisco и обновитесь до версии, в которой исправление указано как "First Fixed Release".

Проверка текущей версии:

show version | include IOS

Процедура обновления (пример): 1. Скачайте исправленный образ IOS с портала Cisco. 2. Загрузите его на устройство (например, через TFTP). 3. Укажите его как загрузочный файл и перезагрузитесь.

copy tftp://<server_ip>/<new_image_name>.bin flash:
configure terminal
boot system flash:<new_image_name>.bin
end
write memory
reload

Временное решение

Если немедленное обновление невозможно, ограничьте доступ к PN-DCP-порту (UDP/34964) на уязвимых интерфейсах.

  1. Используйте ACL для блокировки входящего трафика UDP/34964 с ненадежных сетей (например, из интернета или смежных сегментов, где PROFINET не используется). bash ! Создайте расширенный ACL ip access-list extended BLOCK-PNDCP deny udp any any eq 34964 permit ip any any ! ! Примените ACL на входящий трафик интерфейсов, обращенных к источнику угрозы interface GigabitEthernet0/0 ip access-group BLOCK-PNDCP in Важно: Не блокируйте этот порт на интерфейсах, которые обслуживают легитимное PROFINET-оборудование, так как это нарушит его работу.

  2. Используйте контрольные плоскости (CoPP) для ограничения скорости обработки PN-DCP-пакетов, если это поддерживается вашей версией IOS и платформой.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей