CVE-2018-0171
Cisco IOS and IOS XE
2021-11-03
Cisco IOS and IOS XE Software improperly validates packet data, allowing an unauthenticated, remote attacker to trigger a reload of an affected device, cause a denial-of-service (DoS) condition, or perform code execution on the affected device.
Технический анализ и план устранения
Суть уязвимости
Уязвимость в обработчике протокола Smart Install (порт TCP/4786) в IOS и IOS XE. Удаленный злоумышленник, не проходя аутентификацию, может отправить специально сформированный пакет, который вызовет: * Перезагрузку устройства (DoS). * Выполнение произвольного кода с привилегиями root.
Как исправить
Основной метод — обновление ПО. Установите исправленную версию IOS/IOS XE, указанную в официальном бюллетене Cisco. Пример команды для обновления через TFTP:
copy tftp://<server_ip>/<fixed_image_name>.bin flash:
boot system flash:<fixed_image_name>.bin
write memory
reload
Критические исправленные версии (релизы с исправлением): * IOS 15.6(3)M и более поздние для ветки 15.6M. * IOS XE 16.3.6 и более поздние. * IOS 15.5(3)S для ветки 15.5S. * Полный список для всех веток — в официальном бюллетене Cisco CVE-2018-0171.
Проверьте текущую версию:
show version | include Software,
Временное решение
Если немедленное обновление невозможно, полностью отключите клиент Smart Install на устройствах, где он не используется.
-
Проверьте, используется ли Smart Install:
bash show vstack configЕсли в выводе есть строкаRole: Client (Enabled), функция активна. -
Отключите клиент Smart Install:
bash configure terminal no vstack end write memory -
Заблокируйте доступ к порту Smart Install (TCP/4786) на границе сети с помощью ACL на пограничных маршрутизаторах или фаерволе:
bash ! Пример ACL для блокировки входящего трафика на порт 4786 ip access-list extended BLOCK-SMART-INSTALL deny tcp any any eq 4786 permit ip any any interface GigabitEthernet0/0 ip access-group BLOCK-SMART-INSTALL in