CVE-2018-0173

Cisco IOS and IOS XE Software

ВЕРОЯТНОСТЬ 5.4%
Дата обнаружения

2022-03-03

Официальное описание

A vulnerability in the Cisco IOS Software and Cisco IOS XE Software function that restores encapsulated option 82 information in DHCP Version 4 (DHCPv4) packets can allow for denial-of-service (DoS).

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в механизме обработки DHCP-пакетов в Cisco IOS/IOS XE. Атакующий может отправить специально сформированный DHCPv4-пакет с опцией 82, что приводит к сбою в обработке (Input/Output Memory Management Unit, IOMMU) и перезагрузке устройства, вызывая отказ в обслуживании (DoS).

Как исправить

Установите исправленную версию ПО Cisco IOS/IOS XE. Конкретные фиксированные версии зависят от вашего аппаратного и программного релиза. Проверьте актуальные рекомендации по вашему устройству с помощью Cisco Software Checker, используя CVE ID: CVE-2018-0173.

Пример для некоторых версий (актуальность уточняйте): * Для IOS 15.6(3)M — обновитесь до версии 15.6(3)M2 или новее. * Для IOS XE 3.16 — обновитесь до версии 3.16.8S или новее.

Процедура обновления (пример): 1. Скачайте исправленный образ с Cisco.com. 2. Загрузите его на устройство (например, на флеш-память flash:). bash copy tftp://<TFTP-сервер>/<новый-образ.bin> flash: 3. Настройте устройство на загрузку с нового образа. bash configure terminal boot system flash:<новый-образ.bin> end write memory 4. Перезагрузите устройство. bash reload

Временное решение

Если немедленное обновление невозможно, ограничьте доступ к DHCP-сервисам устройства.

  1. Используйте Control Plane Policing (CoPP): Настройте политику для ограничения скорости (rate-limit) DHCP-тракта, поступающего на управляющую плоскость (control-plane). bash ! Создайте ACL для идентификации DHCP-трафика (порты 67/UDP, 68/UDP) ip access-list extended ACL_DHCP permit udp any any eq bootps permit udp any any eq bootpc ! ! Создайте класс-карту class-map match-all CLASS_DHCP match access-group name ACL_DHCP ! ! Настройте политику, ограничивающую трафик (например, до 8000 bps) policy-map POLICY_COPP class CLASS_DHCP police 8000 conform-action transmit exceed-action drop ! ! Примените политику к control-plane control-plane service-policy input POLICY_COPP

  2. Ограничьте доступ на границе сети: Настройте ACL на пограничных маршрутизаторах или фаерволе, чтобы блокировать входящие DHCP-пакеты (UDP 67, 68) из ненадежных сетей (например, из интернета) к уязвимым устройствам внутри сети.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей