CVE-2017-12238
Cisco Catalyst 6800 Series Switches
2022-03-03
A vulnerability in the Virtual Private LAN Service (VPLS) code of Cisco IOS for Cisco Catalyst 6800 Series Switches could allow an unauthenticated, adjacent attacker to cause a denial of service.
Технический анализ и план устранения
Суть уязвимости
Уязвимость в коде VPLS (Virtual Private LAN Service) в ПО Cisco IOS на коммутаторах Catalyst 6800. Неаутентифицированный злоумышленник, имеющий доступ к смежной сети (adjacent), может отправить специально сформированные пакеты, что приведет к перезагрузке уязвимого интерфейса или всего устройства, вызывая отказ в обслуживании (DoS).
Как исправить
Установите исправленную версию Cisco IOS Software. Уязвимость устранена в следующих релизах: * Cisco IOS XE Software 16.6.1 и более поздних. * Для более ранних ветвей (например, 15.6) обратитесь к бюллетеню Cisco для получения информации о фиксах.
Порядок действий:
1. Определите текущую версию ПО:
bash
show version
2. Скачайте исправленный образ IOS с сайта Cisco Software Center.
3. Загрузите образ на устройство (например, через TFTP) и установите его:
bash
copy tftp://<server_ip>/<new_image_name>.bin flash:
configure terminal
boot system flash:<new_image_name>.bin
end
write memory
reload
Временное решение
Если немедленное обновление невозможно, ограничьте возможность атаки:
1. Отключите VPLS: Если функция VPLS не используется, отключите ее на всех интерфейсах.
bash
configure terminal
interface <interface_name>
no vpls
end
write memory
2. Ограничьте доступ: Настройте контроль доступа (ACL) на граничных интерфейсах, чтобы блокировать несанкционированный трафик из смежных сетей, который может быть использован для эксплуатации уязвимости.
3. Изолируйте сеть: Убедитесь, что доступ к портам, на которых включен VPLS, имеют только доверенные устройства и сети.