CVE-2017-6627

Cisco IOS and IOS XE Software

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-03

Официальное описание

A vulnerability in the UDP processing code of Cisco IOS and IOS XE could allow an unauthenticated, remote attacker to cause the input queue of an affected system to hold UDP packets, causing an interface queue wedge and denial of service.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в коде обработки UDP-пакетов позволяет удаленному злоумышленнику без аутентификации отправлять специально сформированные UDP-пакеты на целевой интерфейс. Это приводит к переполнению входной очереди (input queue) интерфейса, ее "заклиниванию" (wedge) и отказу в обслуживании (DoS). Атакованный интерфейс перестает обрабатывать входящий трафик.

Как исправить

Установите исправленную версию ПО Cisco IOS/IOS XE. Обновление является единственным полным решением.

Для Cisco IOS XE: * Установите версию 16.3.2 или новее. * Для ветки 16.1.x: обновитесь до 16.1.2 или новее. * Для ветки 3.16.x: обновитесь до 3.16.2s или новее.

Для Cisco IOS: * Установите версию 15.6(2)T или новее.

Процедура обновления: 1. Скачайте исправленный образ с портала Cisco Software Center. 2. Скопируйте его на устройство (например, на флеш-память). bash copy tftp://<сервер>/<образ_ios>.bin flash: 3. Настройте устройство на загрузку с нового образа и перезагрузите его. bash configure terminal boot system flash:<образ_ios>.bin end write memory reload

Временное решение

Если немедленное обновление невозможно, примените контроль доступа (ACL) для ограничения нежелательного UDP-трафика.

  1. Создайте расширенный ACL, который разрешает только необходимый UDP-трафик (например, DNS, NTP, VoIP) и запрещает все остальное к уязвимым интерфейсам. bash ip access-list extended BLOCK_UDP_EXPLOIT permit udp any any eq 53 ! Разрешить DNS permit udp any any eq 123 ! Разрешить NTP deny udp any any ! Запретить весь остальной UDP permit ip any any ! Разрешить весь остальной трафик
  2. Примените ACL на входящий трафик уязвимого интерфейса. bash interface GigabitEthernet0/1 ip access-group BLOCK_UDP_EXPLOIT in
  3. Альтернативно, используйте Control Plane Policing (CoPP) для ограничения скорости UDP-трафика, направляемого на управляющую плоскость (control-plane). Это требует более тонкой настройки под конкретную среду.

Важно: ACL и CoPP являются мерами смягчения и не устраняют уязвимость полностью. Планируйте установку официального патча как можно скорее.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей