CVE-2017-6663
Cisco IOS and IOS XE Software
2022-03-03
A vulnerability in the Autonomic Networking feature of Cisco IOS Software and Cisco IOS XE Software could allow an unauthenticated, adjacent attacker to cause autonomic nodes of an affected system to reload, resulting in denial-of-service (DoS).
Технический анализ и план устранения
Суть уязвимости
Уязвимость в функции Autonomic Networking (AN) позволяет злоумышленнику, находящемуся в том же сегменте сети (смежному), без аутентификации отправить специально сформированный пакет. Это приводит к перезагрузке узлов, работающих в режиме autonomic node, вызывая отказ в обслуживании (DoS).
Как исправить
Установите исправленную версию Cisco IOS/IOS XE. Выбор конкретной версии зависит от вашего основного релиза. Ниже приведены примеры для нескольких основных веток.
Для Cisco IOS XE: * Ветка 3.16: Обновитесь до версии 3.16.8S или новее. * Ветка 3.17: Обновитесь до версии 3.17.4S или новее. * Ветка 16.6: Обновитесь до версии 16.6.4 или новее.
Для Cisco IOS: * Ветка 15.6: Обновитесь до версии 15.6(3)M2 или новее.
Процедура обновления (пример): 1. Скачайте исправленный образ со страницы поддержки Cisco. 2. Загрузите его на устройство (например, в слот флэш-памяти). 3. Настройте устройство на загрузку с нового образа и перезагрузите его.
! Пример для IOS/IOS XE (выполняйте в режиме конфигурации)
boot system flash0:new_image.bin
write memory
reload
Временное решение
Если немедленное обновление невозможно, отключите функцию Autonomic Networking на всех подверженных уязвимости устройствах.
Отключение Autonomic Networking:
! Выполните в режиме глобальной конфигурации
configure terminal
no autonomic
end
write memory
Дополнительные меры: * Ограничьте доступ к сегментам сети, где работают autonomic nodes, используя списки контроля доступа (ACL) на граничных маршрутизаторах/коммутаторах. * По возможности изолируйте управляющий трафик (включая Autonomic Networking) в отдельный VLAN.