CVE-2017-6738

Cisco IOS and IOS XE Software

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-03

Официальное описание

The Simple Network Management Protocol (SNMP) subsystem of Cisco IOS and IOS XE contains a vulnerability that could allow an authenticated, remote attacker to remotely execute code.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в подсистеме SNMP (Simple Network Management Protocol) Cisco IOS и IOS XE позволяет аутентифицированному удаленному злоумышленнику выполнить произвольный код на устройстве, отправив специально сформированный SNMP-пакет. Для эксплуатации требуется знать действительные учетные данные SNMP (read-write community string).

Как исправить

Установите исправленную версию ПО Cisco IOS/IOS XE. Обновление является единственным полным решением.

  1. Определите текущую версию ПО: bash show version

  2. Обновитесь до исправленной версии. Для вашего конкретного аппаратного и программного образа (адресованную версию) найдите обновление на портале поддержки Cisco. Исправлены версии, указанные в таблице ниже (и более поздние из тех же веток):

    • Cisco IOS: 15.6(3)M2 и новее для ветки 15.6M.
    • Cisco IOS XE: Версии 3.16.3S, 3.18.2S и новее для соответствующих веток.

    Пример команды для обновления через TFTP (замените tftp-server-ip и image-name.bin): bash copy tftp://tftp-server-ip/image-name.bin flash: boot system flash:image-name.bin write memory reload

Временное решение

Если немедленное обновление невозможно, примените следующие меры для снижения риска:

  1. Ограничьте доступ к SNMP:

    • Используйте ACL (Access Control List) на интерфейсах, разрешающих входящие SNMP-запросы, чтобы ограничить доступ только доверенным управляющим хостам. bash ! Пример конфигурации ACL и её применения к интерфейсу access-list 10 permit host 192.168.1.100 access-list 10 deny any log ! snmp-server community YourComplexROString RO 10 snmp-server community YourComplexRWString RW 10 ! interface GigabitEthernet0/0 ip access-group 10 in

  2. Отключите SNMP, если он не используется: bash no snmp-server Перед выполнением убедитесь, что это не нарушит процессы мониторинга.

  3. Используйте SNMPv3 с аутентификацией и шифрованием вместо менее безопасных SNMPv1/v2c с community strings. Это не устраняет уязвимость, но значительно усложняет получение злоумышленником необходимых учетных данных. bash snmp-server group MyGroup v3 priv snmp-server user MyUser MyGroup v3 auth sha YourAuthPass priv aes 128 YourPrivPass

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей