CVE-2018-0125

Суть уязвимости

Уязвимость в веб-интерфейсе маршрутизаторов Cisco VPN позволяет удаленному злоумышленнику без аутентификации выполнить произвольный код с правами пользователя root. Это дает полный контроль над устройством. Атака возможна через сетевой доступ к веб-интерфейсу устройства.

Как исправить

Установите исправленное ПО от Cisco. Конкретная версия зависит от модели и текущей версии IOS. Обновитесь до одной из следующих исправленных версий (или новее): * Для серий Cisco RV110W, RV130W, RV215W: версия 1.2.2.8. * Для серий Cisco RV132W, RV134W: версия 1.0.1.17.

Процедура обновления: 1. Скачайте исправленный образ IOS с портала Cisco Software Center. 2. Загрузите файл на устройство через веб-интерфейс.

# Пример для загрузки через CLI (если доступен)
copy tftp://<TFTP_SERVER_IP>/<NEW_IOS_IMAGE>.bin flash:

1. В веб-интерфейсе перейдите в раздел обновления прошивки (Administration -> Firmware Upgrade), выберите файл и запустите процесс.
2. После установки перезагрузите устройство.

Временное решение

Если немедленное обновление невозможно, выполните следующие действия: 1. Отключите веб-интерфейс от внешней сети. Ограничьте доступ к портам веб-управления (по умолчанию HTTP/80, HTTPS/443) только с доверенных внутренних IP-адресов с помощью ACL (Access Control List) на маршрутизаторе или внешнем фаерволе. bash ! Пример ACL для Cisco IOS (запрет внешнего доступа на веб-интерфейс) access-list 110 deny tcp any any eq 80 access-list 110 deny tcp any any eq 443 access-list 110 permit ip any any interface GigabitEthernet0/0 ip access-group 110 in 2. Используйте VPN для доступа к управлению. Полностью отключите веб-интерфейс на WAN-интерфейсе и настройте доступ к нему только через VPN-туннель (например, IPsec или SSL-VPN). 3. Рассмотрите возможность размещения устройства за фаерволом следующего поколения (NGFW) с включенными сигнатурами для предотвращения эксплуатации данной уязвимости (если такие доступны у вендора вашего FW).