CVE-2017-6739

Суть уязвимости

Уязвимость в подсистеме SNMP (v1, v2c, v3) Cisco IOS и IOS XE позволяет аутентифицированному удаленному злоумышленнику выполнить произвольный код или вызвать перезагрузку (DoS) на целевом устройстве (маршрутизаторе, коммутаторе), отправив специально сформированный SNMP-пакет.

Как исправить

Установите исправленную версию ПО Cisco IOS/IOS XE. Конкретная версия зависит от вашей текущей мажорной ветки (Train).

1. Определите текущую версию ПО: bash show version

2. Обновитесь до одной из исправленных версий, указанных в официальном бюллетене Cisco:

   • Для IOS 15.6: установите версию 15.6(3)M или новее.
   • Для IOS XE 3.16: установите версию 3.16.8S или новее.
   • Для IOS XE 3.17: установите версию 3.17.4S или новее.
   • Для IOS XE 3.18: установите версию 3.18.2SP или новее.
   • Актуальный список всех исправленных версий смотрите в Cisco Security Advisory cisco-sa-20170629-snmp.

3. Пример команды для обновления (зависит от устройства и источника): bash copy tftp://<сервер>/<имя_образа>.bin flash: boot system flash:/<имя_образа>.bin write memory reload

Временное решение

Если немедленное обновление невозможно, ограничьте доступ к SNMP и ужесточите политики.

1. Ограничьте доступ к SNMP-порту (UDP 161) с помощью ACL: bash ! Создайте ACL, разрешающий доступ только с доверенных хостов для управления ip access-list standard SNMP-ACL permit <IP_доверенного_сервера_1> permit <IP_доверенного_сервера_2> deny any log ! ! Примените ACL к SNMP-сообществу или группе snmp-server community <ваша_строка> RO SNMP-ACL ! Или для SNMPv3: snmp-server group <группа> v3 priv access SNMP-ACL

2. Отключите SNMP, если он не используется (самый эффективный метод): bash no snmp-server

3. Используйте только SNMPv3 с аутентификацией и шифрованием (priv), отключив менее безопасные версии v1 и v2c.