CVE-2018-0154
Cisco IOS Software
2022-03-03
A vulnerability in the crypto engine of the Cisco Integrated Services Module for VPN (ISM-VPN) running Cisco IOS Software could allow an unauthenticated, remote attacker to cause a denial-of-service (DoS) condition.
Технический анализ и план устранения
Суть уязвимости
Уязвимость в криптографическом модуле (crypto engine) модуля ISM-VPN в Cisco IOS. Удаленный злоумышленник, не проходя аутентификацию, может отправить специально сформированные IPsec-пакеты на целевое устройство. Обработка таких пакетов вызывает сбой в работе криптодвижка, что приводит к отказу в обслуживании (DoS) всех IPsec-сессий на модуле ISM-VPN.
Как исправить
Уязвимость устранена в исправленных релизах Cisco IOS Software. Необходимо обновить ПО на модуле ISM-VPN до одной из следующих версий (или более новых): * Для Cisco IOS 15.5(2)T и более ранних в этой линейке: обновитесь до Cisco IOS 15.5(2)T4 или 15.5(3)M. * Для Cisco IOS 15.6(2)T и более ранних в этой линейке: обновитесь до Cisco IOS 15.6(2)T2. * Для Cisco IOS 15.6(3)M: обновитесь до Cisco IOS 15.6(3)M3.
Процедура обновления:
1. Скачайте исправленный образ IOS с портала Cisco.
2. Загрузите образ на flash-память маршрутизатора:
bash
copy tftp://<tftp_server>/<ios_image>.bin flash:
3. Настройте устройство на загрузку с нового образа и перезагрузите его:
bash
configure terminal
boot system flash:<ios_image>.bin
end
write memory
reload
Временное решение
Если немедленное обновление невозможно, примените одно из следующих решений:
* Ограничьте доступ к ISM-VPN: Используйте ACL (Access Control List) на граничных интерфейсах, чтобы разрешить IPsec-трафик (UDP 500, UDP 4500, протоколы ESP/AH 50/51) только с доверенных IP-адресов пиринговых узлов.
bash
! Пример ACL для входящего трафика на внешнем интерфейсе
access-list 150 permit udp <trusted_peer_1> host <your_public_ip> eq isakmp
access-list 150 permit udp <trusted_peer_1> host <your_public_ip> eq non500-isakmp
access-list 150 permit esp host <trusted_peer_1> host <your_public_ip>
access-list 150 permit ahp host <trusted_peer_1> host <your_public_ip>
access-list 150 deny ip any any log
interface GigabitEthernet0/0
ip access-group 150 in
* Используйте механизмы защиты плоскости управления (Control Plane Policing - CoPP): Настройте политику для ограничения скорости обработки IPsec-пакетов (протоколы 50/51, UDP 500/4500) плоскостью управления, чтобы смягчить последствия атаки.
* Рассмотрите возможность отказа от ISM-VPN: Если позволяет архитектура, перенесите функции VPN на другое, защищенное устройство (например, ASA/Firepower или роутер без ISM-VPN).