CVE-2017-12319
Cisco IOS XE Software
2022-03-03
A vulnerability in the Border Gateway Protocol (BGP) over an Ethernet Virtual Private Network (EVPN) for Cisco IOS XE Software could allow an unauthenticated, remote attacker to cause the device to reload, resulting in a denial of service (DoS) condition, or potentially corrupt the BGP routing table, which could result in network instability.
Технический анализ и план устранения
Суть уязвимости
Уязвимость в реализации BGP over EVPN в Cisco IOS XE. Удаленный злоумышленник, не проходя аутентификацию, может отправить специально сформированный BGP-пакет (скорее всего, с определенным типом NLRI или атрибутом) на порт TCP 179 целевого маршрутизатора. Это приводит к: * Отказу в обслуживании (DoS): Аварийному завершению процесса BGP или перезагрузке всего устройства. * Повреждению таблицы маршрутизации: Неверной обработке BGP-обновлений, что может вызвать сетевую нестабильность, петли или утечку маршрутов.
Как исправить
Требуется обновить ПО Cisco IOS XE до исправленной версии. Выбор версии зависит от вашей текущей мажорной ветки.
1. Определите текущую версию:
show version | include Software,
2. Обновитесь до одной из следующих исправленных версий: * Для ветки 16.1.x: Обновитесь до 16.1.2 или новее. * Для ветки 16.2.x: Обновитесь до 16.2.2 или новее. * Для ветки 16.3.x: Обновитесь до 16.3.1 или новее. * Для ветки 16.4.x: Обновитесь до 16.4.1 или новее.
3. Процедура обновления (пример):
# Скопируйте новый образ на flash (например, через TFTP)
copy tftp://<server>/<new_image.bin> flash:
# Укажите новый образ для загрузки
configure terminal
boot system flash:/<new_image.bin>
end
write memory
reload
Временное решение
Если немедленное обновление невозможно, примените фильтрацию BGP-сессий.
1. Ограничьте доступ к BGP-порту (TCP 179) только доверенным BGP-соседям с помощью ACL на интерфейсах:
configure terminal
! Создайте ACL, разрешающий только соседей
ip access-list standard BGP-PEERS
permit host <trusted_neighbor_ip_1>
permit host <trusted_neighbor_ip_2>
deny any log
exit
! Примените ACL на входящий трафик ко всем интерфейсам, принимающим BGP
interface GigabitEthernet0/0/0
ip access-group BGP-PEERS in
exit
! Повторите для других интерфейсов, обращенных к потенциальным источникам атак
2. Используйте BGP TTL Security (если поддерживается соседями):
configure terminal
router bgp <your_as>
neighbor <trusted_neighbor_ip> ttl-security hops 1
Это отклоняет пакеты от устройств, не находящихся в непосредственном сегменте.
3. (Если не используется) Рассмотрите возможность временного отключения BGP over EVPN:
configure terminal
router bgp <your_as>
no address-family l2vpn evpn
Внимание: Это радикальная мера, которая нарушит работу EVPN. Применяйте только в критической ситуации и если это допустимо для вашей сети.