CVE-2017-6740

Cisco IOS and IOS XE Software

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-03

Официальное описание

The Simple Network Management Protocol (SNMP) subsystem of Cisco IOS and IOS XE contains a vulnerability that could allow an authenticated, remote attacker to remotely execute code on an affected system or cause an affected system to reload.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в подсистеме SNMP (v1, v2c, v3) Cisco IOS и IOS XE позволяет аутентифицированному удаленному злоумышленнику отправить специально сформированный SNMP-пакет на устройство. Успешная эксплуатация может привести к: * Выполнению произвольного кода с привилегиями уровня 15 (полный контроль). * Перезагрузке устройства (отказ в обслуживании, DoS).

Как исправить

Основной метод — обновление ПО до версии, в которой уязвимость устранена.

  1. Определите текущую версию IOS/IOS XE: bash show version

  2. Обновите ПО до исправленной версии. Конкретные фиксированные выпуски зависят от вашей ветки (Train). Вот основные примеры:

    • Для IOS 15.6: Обновитесь до 15.6(3)M или новее.
    • Для IOS XE 3.16: Обновитесь до 3.16.8S или новее.
    • Для IOS XE 16.6: Обновитесь до 16.6.4 или новее.

    Скачайте исправленный образ с портала Cisco Software Center и выполните обновление: bash copy tftp://<сервер>/<новый_образ.bin> flash: boot system flash:/<новый_образ.bin> write memory reload

    Важно: Полный список фиксированных версий для всех веток смотрите в официальном бюллетене Cisco: Cisco Security Advisory cisco-sa-20170629-snmp.

Временное решение

Если немедленное обновление невозможно, примените следующие меры:

  1. Ограничьте доступ к SNMP:

    • Используйте ACL (Access Control List) на интерфейсах, разрешающие доступ к устройству только с доверенных управляющих хостов. bash ! Создайте ACL (например, номер 10) access-list 10 permit host <IP_доверенного_хоста> access-list 10 deny any log ! Примените ACL к интерфейсам VTY (для управления) и ко всем интерфейсам, принимающим SNMP-трафик snmp-server community <ваша_строка> RO 10 line vty 0 15 access-class 10 in
    • Если SNMP не используется критически, полностью отключите его сервер: bash no snmp-server

  2. Используйте SNMP v3 с аутентификацией и шифрованием: Если SNMP v1/v2c не обязательны, переведите управление на SNMP v3, который менее подвержен данной атаке. bash snmp-server group <группа> v3 priv snmp-server user <пользователь> <группа> v3 auth sha <пароль_аутентификации> priv aes 128 <пароль_шифрования>

  3. Изолируйте управляющий трафик: Убедитесь, что трафик SNMP передается только по выделенным, защищенным управляющим сетям (out-of-band или защищенные VLAN).

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей