CVE-2017-6736

Cisco IOS and IOS XE Software

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-03

Официальное описание

The Simple Network Management Protocol (SNMP) subsystem of Cisco IOS and IOS XE contains a vulnerability that could allow an authenticated, remote attacker to remotely execute code.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в подсистеме SNMP (v1, v2c, v3) Cisco IOS и IOS XE позволяет аутентифицированному удаленному злоумышленнику выполнить произвольный код на устройстве, отправив специально сформированный SNMP-пакет. Для эксплуатации требуется знать действительные учетные данные SNMP (community string для v1/v2c или пароль пользователя для v3).

Как исправить

Установите исправленную версию ПО Cisco IOS/IOS XE. Обновление является единственным полным решением.

  1. Определите текущую версию ПО: bash show version

  2. Обновитесь до одной из следующих исправленных версий:

    • Для IOS 15.6(3)M и более ранних в ветке 15.6M: обновитесь до IOS 15.6(3)M2 или новее.
    • Для IOS XE 3.16 и более ранних: обновитесь до IOS XE 3.16.4S или новее.
    • Для IOS XE 3.17 и более ранних: обновитесь до IOS XE 3.17.2S или новее.
    • Актуальный список всех исправленных версий для всех веток смотрите в официальном Security Advisory Cisco.

  3. Пример команды для копирования и установки нового образа (замените flash: на ваш источник): bash copy tftp://<server_ip>/<new_image_name.bin> flash: configure terminal boot system flash:<new_image_name.bin> end write memory reload

Временное решение

Если немедленное обновление невозможно, примените следующие меры для снижения риска:

  1. Ограничьте доступ к SNMP:

    • Используйте ACL (Access Control List) на интерфейсах, разрешающих входящие SNMP-запросы только с доверенных IP-адресов систем управления. bash ! Создайте ACL (например, 10) ip access-list standard SNMP-ACL permit <ip_address_of_nms_1> permit <ip_address_of_nms_2> deny any ! Примените ACL к SNMP-конфигурации snmp-server community <your_community_string> ro SNMP-ACL ! Для SNMPv3 используйте 'snmp-server group' с ACL

  2. Отключите SNMP, если он не используется: bash no snmp-server Перед отключением убедитесь, что это не нарушит работу систем мониторинга.

  3. Усильте политику SNMP-сообществ (для v1/v2c):

    • Используйте сложные, нестандартные community strings.
    • Рассмотрите возможность перехода на SNMPv3 с аутентификацией и шифрованием (privacy), если ваши системы управления его поддерживают.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей