CVE-2018-0155

Cisco Catalyst 4500 Series Switches and Cisco Catalyst 4500-X Series Switches

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-03

Официальное описание

A vulnerability in the Bidirectional Forwarding Detection (BFD) offload implementation of Cisco Catalyst 4500 Series Switches and Cisco Catalyst 4500-X Series Switches could allow an unauthenticated, remote attacker to cause a crash of the iosd process, causing a denial-of-service (DoS) condition.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в реализации аппаратного ускорения (offload) протокола BFD на коммутаторах Catalyst 4500 и 4500-X. Неаутентифицированный удаленный злоумышленник может отправить специально сформированный BFD-пакет, который приводит к краху процесса iosd (основного процесса IOS) и полному отказу в обслуживании (DoS) коммутатора.

Как исправить

Установите исправленную версию ПО Cisco IOS XE. Обновление является единственным способом полного устранения уязвимости.

Для Catalyst 4500 Supervisor Engine 8-E: * Минимальная исправленная версия: 15.2(5)E * Рекомендуемая стабильная версия: 15.2(7)E или более поздняя из ветки 15.2(5)E.

Для Catalyst 4500-X: * Минимальная исправленная версия: 3.10.6E * Рекомендуемая стабильная версия: 16.9.3 или более поздняя из долгосрочной поддерживаемой (LTS) ветки.

Процедура обновления: 1. Скачайте соответствующий образ IOS XE с сайта Cisco Software Center. 2. Загрузите образ на flash-память коммутатора. 3. Установите новую версию как загрузочный образ и перезагрузите устройство.

! Копируем новый образ на коммутатор (пример с TFTP)
copy tftp://<tftp_server>/cat4500-ipbasek9-mz.152-7.E.bin flash:

! Указываем новый образ для загрузки
configure terminal
boot system flash:cat4500-ipbasek9-mz.152-7.E.bin
end
write memory

! Перезагружаем устройство
reload

Временное решение

Если немедленное обновление невозможно, отключите аппаратное ускорение BFD (BFD offload) на всех интерфейсах, где оно не является критически необходимым. Это снизит производительность BFD, но устранит вектор атаки.

  1. Отключите BFD offload глобально (предпочтительный метод): bash configure terminal no bfd hardware-offload end write memory

  2. Или отключите BFD offload на конкретном интерфейсе: bash configure terminal interface GigabitEthernet1/1 no bfd hardware-offload end write memory

Дополнительные меры: * Ограничьте доступ к коммутатору по управляющим протоколам (SSH, SNMP) только с доверенных сетей с помощью ACL. * Рассмотрите возможность применения Control Plane Policing (CoPP) для ограничения скорости BFD-тракта, направляемого на CPU.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей