CVE-2017-6744

Cisco IOS software

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-03

Официальное описание

The Simple Network Management Protocol (SNMP) subsystem of Cisco IOS 1 contains a vulnerability that could allow an authenticated, remote attacker to remotely execute code on an affected system or cause an affected system to reload. An attacker could exploit these vulnerabilities by sending a crafted SNMP packet to an affected system via IPv4 or IPv6.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в подсистеме SNMP (Simple Network Management Protocol) Cisco IOS позволяет аутентифицированному удаленному злоумышленнику выполнить произвольный код на целевом устройстве или вызвать его перезагрузку (DoS). Для эксплуатации атакующий отправляет специально сформированный SNMP-пакет (SNMP GET, SET или TRAP) по IPv4 или IPv6 на уязвимое устройство.

Как исправить

Установите исправленную версию Cisco IOS, соответствующую вашему оборудованию и текущему уровню ПО. Уязвимость устранена в следующих версиях (и более поздних):

  • Для Cisco IOS 15.6(3)M и ранее: обновитесь до 15.6(3)M2 или 15.7(3)M.
  • Для Cisco IOS XE 3.18 и ранее: обновитесь до 3.18.1SP или 16.6.1.
  • Для других веток (например, 12.2, 15.0, 15.1, 15.2, 15.3, 15.4, 15.5) проверьте наличие конкретных исправленных сборок в официальном бюллетене Cisco: Cisco Security Advisory cisco-sa-20170629-snmp.

Порядок действий: 1. Определите текущую версию IOS: bash show version 2. Скачайте исправленный образ IOS с портала Cisco. 3. Загрузите образ на устройство (например, через TFTP). 4. Установите новую версию и перезагрузите устройство: bash copy tftp flash: boot system flash:<имя_нового_образа.bin> write memory reload

Временное решение

Если немедленное обновление невозможно, примените следующие меры:

  1. Ограничьте доступ к SNMP: Настройте ACL (Access Control List) для SNMP, разрешив доступ только с доверенных управляющих станций. bash ! Создайте ACL (например, номер 10) для доверенных сетей access-list 10 permit 192.168.1.0 0.0.0.255 access-list 10 deny any log ! Примените ACL к SNMP-сообществу или группе snmp-server community <ваше_сообщество> RO 10 ! Или для SNMPv3 (предпочтительно) snmp-server group <группа> v3 priv access 10

  2. Отключите SNMP (радикальная мера): Если SNMP не используется, полностью отключите службу. bash no snmp-server

  3. Используйте SNMPv3 с аутентификацией и шифрованием: Замените менее безопасные SNMPv1/v2c на SNMPv3 с использованием auth (SHA/MD5) и priv (AES/DES) режимов. bash snmp-server group <группа> v3 priv snmp-server user <пользователь> <группа> v3 auth sha <пароль> priv aes 128 <ключ_шифрования>

  4. Заблокируйте SNMP-порты (161/UDP, 162/UDP) на граничных firewall: Запретите входящие SNMP-запросы из внешних сетей (Internet).

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей