CVE-2018-0156

Cisco IOS Software and Cisco IOS XE Software

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-03

Официальное описание

A vulnerability in the Smart Install feature of Cisco IOS Software and Cisco IOS XE Software could allow an unauthenticated, remote attacker to trigger a reload of an affected device, resulting in a denial-of-service (DoS) condition.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в функции Smart Install (порт TCP/4786) позволяет удаленному злоумышленнику без аутентификации отправить специально сформированный пакет, который приводит к перезагрузке устройства (DoS). Атака возможна из любой сети, откуда доступен порт Smart Install.

Как исправить

Установите исправленную версию ПО Cisco IOS/IOS XE. Конкретные версии зависят от вашей текущей. Основные исправленные релизы: * IOS 15.6(3)M и выше * IOS XE 3.6.8E и выше * IOS XE 16.4.1 и выше

Порядок действий: 1. Определите текущую версию: bash show version 2. Скачайте исправленный образ с портала Cisco Software Center. 3. Установите его, следуя официальной процедуре обновления (например, через archive download-sw или request platform software).

Временное решение

Если немедленное обновление невозможно, полностью отключите функцию Smart Install на всех устройствах, где она не используется критически.

  1. Отключите протокол Smart Install: bash no vstack
  2. Заблокируйте доступ к порту Smart Install (4786) на граничных firewall/ACL: bash ! Пример ACL для применения на интерфейсе access-list 150 deny tcp any any eq 4786 access-list 150 permit ip any any interface GigabitEthernet0/0 ip access-group 150 in
  3. Проверьте, что функция отключена: bash show vstack config Вывод должен содержать "SmartInstall is disabled".
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей