CVE-2018-0151

Cisco IOS and IOS XE Software

ВЕРОЯТНОСТЬ 7.7%
Дата обнаружения

2022-03-03

Официальное описание

A vulnerability in the quality of service (QoS) subsystem of Cisco IOS Software and Cisco IOS XE Software could allow an unauthenticated, remote attacker to cause a denial of service (DoS) condition or execute arbitrary code with elevated privileges.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в подсистеме QoS (Quality of Service) Cisco IOS/IOS XE позволяет удаленному злоумышленнику без аутентификации отправить специально сформированный пакет на уязвимое устройство. Это может привести к: * Отказу в обслуживании (DoS): Сбой или перезагрузка устройства. * Выполнению произвольного кода: Запуск кода с привилегиями уровня 15 (полный контроль).

Атака возможна через IPv4 или IPv6, если на интерфейсе устройства активирована политика QoS, использующая определенные типы фильтров доступа.

Как исправить

Основной метод — обновление ПО. Установите исправленную версию Cisco IOS/IOS XE, указанную в официальном бюллетене Cisco для CVE-2018-0151.

Конкретные исправленные версии (примеры): * Для IOS 15.6(3)M и ранее — обновитесь до IOS 15.6(3)M2 или новее. * Для IOS XE 3.18.1SP — обновитесь до IOS XE 3.18.1SPS или новее. * Актуальный список всех исправленных версий для каждой ветки ПО смотрите в бюллетене Cisco по ссылке выше.

Процедура обновления (пример): 1. Скачайте исправленный образ IOS/IOS XE с сайта Cisco. 2. Загрузите его на устройство (например, на флеш-память). 3. Настройте устройство на загрузку с нового образа.

! Пример для IOS (выполняется в режиме глобальной конфигурации)
Router(config)# boot system flash0:new-ios-image.bin
Router(config)# end
Router# copy running-config startup-config
Router# reload

Перед перезагрузкой убедитесь в наличии резервной копии конфигурации и согласованности времени на обслуживание.

Временное решение

Если немедленное обновление невозможно, примените следующие меры:

  1. Отключите уязвимую функцию QoS:

    • Удалите политики служб качества (service-policy), привязанные к интерфейсам, особенно к тем, которые обращены к ненадежным сетям (например, WAN, интернет).
    • Найдите и удалите ACL (Access Control List), используемые в QoS для классификации трафика (match access-group).

    bash ! Пример отключения политики QoS с интерфейса GigabitEthernet0/0 Router# configure terminal Router(config)# interface GigabitEthernet0/0 Router(config-if)# no service-policy input YOUR_QOS_POLICY_NAME Router(config-if)# no service-policy output YOUR_QOS_POLICY_NAME Router(config-if)# end Router# copy running-config startup-config

  2. Ограничьте доступ:

    • Используйте ACL на граничных маршрутизаторах или фаерволе, чтобы заблокировать весь нежелательный входящий трафик к уязвимым устройствам из ненадежных сетей. Разрешайте только необходимые для управления и работы служб порты и протоколы.

  3. Минимизация поверхности атаки:

    • Убедитесь, что на интерфейсах, обращенных в интернет или DMZ, не настроены политики QoS, если это не требуется критически для бизнеса.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей