CVE-2018-0158

Cisco IOS Software and Cisco IOS XE Software

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-03

Официальное описание

A vulnerability in the implementation of Internet Key Exchange Version 1 (IKEv1) functionality in Cisco IOS Software and Cisco IOS XE Software could allow an unauthenticated, remote attacker to cause an affected device to reload, resulting in a denial-of-service (DoS) condition.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в обработке пакетов IKEv1. Удаленный злоумышленник может отправить специально сформированный IKEv1-пакет на IP-адрес интерфейса устройства, на котором настроен IKEv1. Это приводит к сбою в обработке пакета и перезагрузке устройства (Denial of Service).

Как исправить

Установите исправленную версию Cisco IOS/IOS XE. Выбор версии зависит от вашего текущего релиза. Обновитесь до одной из рекомендованных версий или новее.

Для Cisco IOS (классический): * 15.6(3)M и новее в ветке 15.6M * 15.7(3)M и новее в ветке 15.7M * 15.8(3)M и новее в ветке 15.8M

Для Cisco IOS XE: * 16.3.7 и новее * 16.4.6 и новее * 16.5.3 и новее * 16.6.2 и новее * 16.7.1 и новее

Процесс обновления (пример): 1. Скачайте нужный образ со страницы поддержки Cisco. 2. Загрузите его на устройство (например, в раздел flash:). 3. Укажите этот образ как загрузочный и перезагрузитесь.

! Копируем образ на устройство (с TFTP-сервера)
copy tftp://192.168.1.100/c2900-universalk9-mz.SPA.157-3.M.bin flash:

! Указываем путь к новому образу для загрузки
configure terminal
boot system flash:c2900-universalk9-mz.SPA.157-3.M.bin
end

! Сохраняем конфигурацию и перезагружаемся
write memory
reload

Временное решение

Если немедленное обновление невозможно, ограничьте доступ к IKEv1-сервису.

  1. Ограничьте доступ с помощью ACL: Примените ACL на интерфейсах, где настроен IKEv1 (обычно внешние/WAN интерфейсы), чтобы разрешать IKE-трафик (UDP порт 500 и 4500) только с доверенных IP-адресов пиров.
! Создаем ACL, разрешающий IKE только с известного IP партнера 203.0.113.5
ip access-list extended FILTER-IKE
 permit udp host 203.0.113.5 any eq isakmp
 permit udp host 203.0.113.5 any eq 4500
 deny udp any any eq isakmp
 deny udp any any eq 4500
 permit ip any any
 exit

! Применяем ACL на входящий трафик внешнего интерфейса (например, GigabitEthernet0/0)
interface GigabitEthernet0/0
 ip access-group FILTER-IKE in
  1. Отключите IKEv1 (если возможно): Если в вашей инфраструктуре все VPN-туннели могут работать на IKEv2, отключите поддержку IKEv1 в политиках ISAKMP.
crypto isakmp policy 10
 no encryption aes
 no authentication pre-share
 no group 2
 ! Команда, отключающая IKEv1 для данной политики
 no version 1
 exit

Внимание: Второй метод может разорвать существующие туннели, использующие IKEv1. Применяйте его только после тестирования и в рамках плановых изменений.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей