CVE-2017-12240

Cisco IOS and IOS XE Software

ВЕРОЯТНОСТЬ 7.9%
Дата обнаружения

2022-03-03

Официальное описание

The Dynamic Host Configuration Protocol (DHCP) relay subsystem of Cisco IOS and Cisco IOS XE Software contains a vulnerability that could allow an unauthenticated, remote attacker to execute arbitrary code and gain full control of an affected system.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в подсистеме DHCP relay (агента) Cisco IOS и IOS XE позволяет удаленному злоумышленнику без аутентификации отправить специально сформированный DHCP-пакет на уязвимое устройство. В результате обработки этого пакета происходит переполнение буфера в памяти, что может привести к выполнению произвольного кода и полному захвату контроля над устройством.

Как исправить

Установите исправленную версию ПО Cisco IOS или IOS XE. Конкретные версии зависят от используемой ветки (Train). Обновитесь до одной из следующих или более поздних версий:

  • Для IOS 15.6(3)M: Обновитесь до версии 15.6(3)M2 или новее.
  • Для IOS XE 3.18: Обновитесь до версии 3.18.1SP или новее.
  • Для IOS XE 16.6: Обновитесь до версии 16.6.1 или новее.
  • Для IOS XE 16.7: Обновитесь до версии 16.7.1 или новее.

Процедура обновления: 1. Скачайте исправленный образ с портала Cisco Software Center. 2. Загрузите образ на устройство (например, в flash:). 3. Укажите новое загрузочное изображение и сохраните конфигурацию. bash configure terminal boot system flash0:<имя_нового_образа.bin> end copy running-config startup-config 4. Перезагрузите устройство командой reload.

Временное решение

Если немедленное обновление невозможно, ограничьте доступ к DHCP relay-интерфейсам устройства.

  1. Ограничьте доверенные источники DHCP. Настройте ACL на интерфейсах, где включен DHCP relay, чтобы разрешать DHCP-трафик только с доверенных серверов и подсетей. bash ! Создайте ACL, разрешающую только ваш доверенный DHCP-сервер (например, 10.0.0.10) ip access-list extended DHCP-ACL permit udp host 10.0.0.10 any eq bootps permit udp host 10.0.0.10 any eq bootpc deny udp any any eq bootps deny udp any any eq bootpc permit ip any any ! Примените ACL на входящий трафик клиентских интерфейсов interface GigabitEthernet0/1 ip access-group DHCP-ACL in
  2. Отключите DHCP relay на интерфейсах, где он не требуется. Проверьте конфигурацию интерфейсов и удалите команду ip helper-address, если функция не используется. bash interface GigabitEthernet0/2 no ip helper-address <адрес_DHCP_сервера>
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей