CVE-2017-6737

Cisco IOS and IOS XE Software

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-03

Официальное описание

The Simple Network Management Protocol (SNMP) subsystem of Cisco IOS and IOS XE contains a vulnerability that could allow an authenticated, remote attacker to remotely execute code.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в подсистеме SNMP (v2c или v3) Cisco IOS и IOS XE позволяет аутентифицированному удаленному злоумышленнику отправить специально сформированный SNMP-запрос. Успешная эксплуатация может привести к выполнению произвольного кода на устройстве с привилегиями уровня 15 (полный контроль) или к его перезагрузке (DoS).

Как исправить

Установите исправленную версию ПО Cisco IOS/IOS XE. Обновление является единственным полным решением.

  1. Определите текущую версию ПО: bash show version

  2. Обновитесь до одной из следующих исправленных версий (или новее):

    • Для IOS 15.6(3)M: установите версию 15.6(3)M2.
    • Для IOS XE 3.16: установите версию 3.16.4S.
    • Для IOS XE 3.17: установите версию 3.17.3S.
    • Для IOS XE 3.18: установите версию 3.18.2SP.
    • Актуальный список всех исправленных версий и ссылки для загрузки смотрите в официальном Security Advisory Cisco.

  3. Процедура обновления (пример): ```bash # Скопируйте новый образ на flash (например, через TFTP) copy tftp://<server_ip>/<new_image_name>.bin flash:

    Настройте устройство на загрузку с нового образа

    configure terminal boot system flash:<new_image_name>.bin end write memory reload ```

Временное решение

Если немедленное обновление невозможно, примените следующие меры для снижения риска:

  1. Ограничьте доступ к SNMP:

    • Используйте ACL (Access Control List) на интерфейсах, разрешающие SNMP-трафик только с доверенных IP-адресов систем управления. bash configure terminal ! Создайте ACL (например, 10) access-list 10 permit <trusted_management_host_1> access-list 10 permit <trusted_management_host_2> ! Примените ACL к SNMP-сообществу или группе snmp-server community <community_string> ro 10 ! Или для SNMPv3 (если используется) snmp-server group <group_name> v3 priv access 10 end write memory

  2. Отключите SNMP (радикальная мера): Если SNMP не используется, полностью отключите его. bash configure terminal no snmp-server end write memory

  3. Используйте SNMPv3 с аутентификацией и шифрованием (priv): Уязвимость затрагивает и SNMPv3, но использование уровня безопасности priv (аутентификация + шифрование) создает дополнительные барьеры для атаки. bash configure terminal snmp-server group <group_name> v3 priv snmp-server user <username> <group_name> v3 auth sha <auth_password> priv aes 128 <encryption_password> end write memory

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей