CVE-2017-6742

Cisco IOS and IOS XE Software

ВЕРОЯТНОСТЬ 6.8%
Дата обнаружения

2023-04-19

Официальное описание

The Simple Network Management Protocol (SNMP) subsystem of Cisco IOS and IOS XE contains a vulnerability that could allow an authenticated, remote attacker to remotely execute code on an affected system or cause an affected system to reload.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2017-6742 — это критическая уязвимость в подсистеме Simple Network Management Protocol (SNMP) программного обеспечения Cisco IOS и IOS XE. Она вызвана переполнением буфера в памяти при обработке специфических SNMP-запросов.

Аутентифицированный удаленный злоумышленник, имеющий доступ к SNMP-сообществу (community string) или учетным данным пользователя, может отправить специально сформированный пакет. Это позволяет выполнить произвольный код (RCE) с правами администратора или вызвать отказ в обслуживании (DoS) путем перезагрузки устройства. Уязвимость затрагивает реализацию девяти конкретных MIB-объектов (Management Information Base), связанных с ADSL-Line, CISCO-ADSL-LINE, ATM-FORUM-ADDR, ATM-FORUM-PNNI и другими.

Как исправить

Основным способом устранения является обновление программного обеспечения Cisco IOS / IOS XE до версии, в которой данная уязвимость исправлена.

  1. Определите текущую версию системы:
show version
  1. Проверьте наличие установленных обновлений безопасности (SMU) для IOS XE:
show platform software patch summary
  1. Загрузите исправленный образ с Cisco Software Central и выполните обновление:
copy tftp: flash:
conf t
boot system flash: <имя_нового_образа>
exit
wr mem
reload

Временные меры

Если немедленное обновление невозможно, необходимо ограничить векторы атаки.

  1. Отключите неиспользуемые MIB-объекты, подверженные уязвимости (наиболее эффективный метод):
conf t
snmp-server view RESTRICT-MIB-VIEW adslLineMIB excluded
snmp-server view RESTRICT-MIB-VIEW ciscoAdslLineMIB excluded
snmp-server view RESTRICT-MIB-VIEW atmForumAddrMIB excluded
snmp-server view RESTRICT-MIB-VIEW atmForumPnniMIB excluded
snmp-server view RESTRICT-MIB-VIEW ciscoAtmfPnniNodeMIB excluded
snmp-server view RESTRICT-MIB-VIEW ciscoCopyConfigMIB excluded
snmp-server view RESTRICT-MIB-VIEW ciscoFlashMIB excluded
snmp-server view RESTRICT-MIB-VIEW ciscoIeee8023AbmHubMIB excluded
snmp-server view RESTRICT-MIB-VIEW ciscoInternalLhMIB excluded
  1. Примените созданный View к вашим SNMP-сообществам или группам:
snmp-server community <your_community> view RESTRICT-MIB-VIEW RO
  1. Ограничьте доступ к SNMP с помощью списков контроля доступа (ACL):
ip access-list standard SNMP-ALLOW
permit 192.168.1.100
deny any
exit
snmp-server community <your_community> SNMP-ALLOW
  1. Если SNMP не требуется для управления устройством, полностью отключите службу:
no snmp-server
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей