CVE-2018-0161
Cisco IOS Software
2022-03-03
A vulnerability in the Simple Network Management Protocol (SNMP) subsystem of Cisco IOS Software running on certain models of Cisco Catalyst Switches could allow an authenticated, remote attacker to cause a denial-of-service (DoS) condition.
Технический анализ и план устранения
Суть уязвимости
Аутентифицированный удаленный злоумышленник может отправить специально созданный SNMP-запрос на уязвимый коммутатор. Это приводит к перезагрузке устройства из-за ошибки обработки в подсистеме SNMP, вызывая отказ в обслуживании (DoS).
Как исправить
Обновите ПО Cisco IOS до версии, в которой устранена уязвимость. Для этого выполните следующие шаги:
- Определите текущую версию ПО:
bash show version -
Загрузите и установите исправленное ПО с сайта Cisco Software Center. Критические исправленные версии:
- Для Cisco Catalyst 3850 Series: 16.3.6 или новее.
- Для Cisco Catalyst 3650 Series: 16.3.6 или новее.
- Для Cisco Catalyst 2960-L Series: 15.2(4)E6 или новее.
- Для Cisco Catalyst 2960-CX Series: 15.2(4)E6 или новее.
Пример команды для копирования нового образа и перезагрузки (выполняется в режиме enable):
bash copy tftp://<TFTP_сервер>/<имя_файла_образа>.bin flash: boot system flash:/<имя_файла_образа>.bin write memory reload
Временное решение
Если немедленное обновление невозможно, ограничьте доступ к SNMP.
-
Ограничьте доступ по SNMP с помощью ACL. Настройте стандартный или расширенный ACL, разрешающий доступ только с доверенных управляющих станций, и примените его к SNMP-сообществу или группе.
bash ! Создаем ACL (например, номер 10) access-list 10 permit host <IP_доверенной_станции> access-list 10 deny any log ! Применяем ACL к SNMP-сообществу snmp-server community <имя_сообщества> RO 10Или примените ACL к интерфейсу VTY для ограничения управления:bash line vty 0 15 access-class 10 in -
Отключите SNMP, если он не используется в инфраструктуре.
bash no snmp-serverПеред отключением убедитесь, что это не нарушит работу систем мониторинга.