CVE-2018-0159

Суть уязвимости

Уязвимость в реализации протокола IKEv1 в Cisco IOS и IOS XE. Удаленный злоумышленник, не проходя аутентификацию, может отправить специально сформированный IKEv1-пакет на устройство. Обработка такого пакета вызывает сбой в системе, приводящий к перезагрузке устройства (Denial-of-Service).

Как исправить

Установите исправленную версию ПО Cisco IOS/IOS XE. Конкретная версия зависит от вашего основного релиза (Train). Обновитесь до одной из указанных или более поздних версий.

• Для IOS 15.6(3)M и более ранних в этом трейне: обновитесь до 15.6(3)M2 или новее.
• Для IOS XE 3.16 и более ранних в этом трейне: обновитесь до 3.16.8S или новее.
• Для IOS XE 16.6.1: обновитесь до 16.6.4 или новее.
• Для IOS XE 16.7.1: обновитесь до 16.7.2 или новее.
• Для IOS XE 16.8.1: обновитесь до 16.8.1a или новее.

Проверка и обновление: 1. Определите текущую версию: bash show version 2. Скачайте исправленный образ с портала Cisco Software Center. 3. Скопируйте образ на устройство (например, через TFTP) и установите его.

Временное решение

Если немедленное обновление невозможно, ограничьте доступ к IKEv1-порту (UDP 500/4500) на уязвимых устройствах.

1. Ограничьте доступ с помощью ACL: Создайте и примените ACL на интерфейсах, принимающих входящий трафик из ненадежных сетей (например, от интернета). Разрешите IKE-трафик только от доверенных пиров. bash ! Создаем ACL, запрещающий весь IKEv1-трафик извне ip access-list extended BLOCK-IKEV1-IN deny udp any any eq isakmp deny udp any any eq 4500 permit ip any any ! ! Применяем ACL на входящий трафик внешнего интерфейса interface GigabitEthernet0/0 ip access-group BLOCK-IKEV1-IN in Примечание: Это отключит установку новых VPN-туннелей IKEv1 через этот интерфейс.

2. Используйте контроль доступа на периметре (брандмауэр): Настройте правила на вышестоящем межсетевом экране, чтобы блокировать входящие UDP-пакеты на порты 500 и 4500, направленные на уязвимые устройства Cisco, из ненадежных сетей.