CVE-2017-6743

Суть уязвимости

Уязвимость в подсистеме SNMP (Simple Network Management Protocol) Cisco IOS и IOS XE позволяет аутентифицированному удаленному злоумышленнику отправить специально созданный SNMP-пакет, который может привести к переполнению буфера и выполнению произвольного кода на устройстве с привилегиями уровня 15 (root).

Как исправить

Установите исправленную версию ПО Cisco IOS или IOS XE. Обновление является единственным полным решением.

1. Определите текущую версию ПО: bash show version

2. Обновитесь до версии, в которой уязвимость устранена. Для этого уязвимости присвоен идентификатор Cisco Bug ID: CSCve60393. Найдите и установите исправленный релиз для вашей модели оборудования, начиная с одной из следующих версий (или новее):

   • Для Cisco IOS: 15.6(3)M2
   • Для Cisco IOS XE: 3.18.2S

   Скачайте необходимое ПО с портала Cisco Software Center и выполните обновление в соответствии с официальной процедурой.

Временное решение

Если немедленное обновление невозможно, ограничьте доступ к SNMP и используйте строгие ACL.

1. Ограничьте доступ к SNMP-портам (UDP 161, 162) с помощью ACL. Разрешите доступ только с доверенных хостов для управления. bash ! Создайте ACL, разрешающую только доверенные сети ip access-list standard SNMP-ACL permit 10.1.1.0 0.0.0.255 deny any log ! ! Примените ACL к SNMP-сообществу или группе snmp-server community MySecretCommunity RO SNMP-ACL Или, если используется SNMPv3: bash snmp-server group MyGroup v3 priv access SNMP-ACL

2. Отключите SNMP, если он не используется. Это наиболее эффективная мера. bash no snmp-server

3. Используйте сложные строки сообщества (community strings) вместо стандартных public и private. Рассмотрите переход на SNMPv3 с аутентификацией и шифрованием (priv).