CVE-2018-0174
Cisco IOS XE Software
2022-03-03
A vulnerability in the DHCP option 82 encapsulation functionality of Cisco IOS Software and Cisco IOS XE Software could allow for denial-of-service (DoS).
Технический анализ и план устранения
Суть уязвимости
Уязвимость в функции инкапсуляции опции 82 DHCP в Cisco IOS и IOS XE позволяет удаленному злоумышленнику, отправившему специально созданный DHCP-пакет, вызвать перезагрузку или зависание устройства, что приводит к отказу в обслуживании (DoS). Атака не требует аутентификации и может быть выполнена через сетевой интерфейс, на котором включена поддержка опции 82.
Как исправить
Установите исправленную версию ПО Cisco IOS XE. Обновитесь до одной из следующих версий (или новее):
- Для Cisco IOS XE 3.16: 16.3.8
- Для Cisco IOS XE 3.17: 16.4.2
- Для Cisco IOS XE 3.18: 16.5.2
- Для Cisco IOS XE 16.6: 16.6.3
Процедура обновления: 1. Скачайте исправленный образ с портала Cisco Software Center. 2. Загрузите образ на устройство (например, во флеш-память). 3. Укажите новый образ как загрузочный и перезагрузите устройство.
# Пример для загрузки через TFTP и смены загрузочного образа
copy tftp://<tftp_server>/<new_image.bin> flash:
configure terminal
boot system flash:<new_image.bin>
end
write memory
reload
Временное решение
Если немедленное обновление невозможно, отключите обработку опции 82 DHCP на всех интерфейсах, где эта функция не является критически необходимой.
Отключение опции 82 на интерфейсе:
configure terminal
interface <interface_type> <interface_number> # Например, GigabitEthernet0/1
no ip dhcp relay information trust-all
no ip dhcp snooping trust
end
write memory
Рекомендация: Примените эту конфигурацию ко всем интерфейсам, обращенным к ненадежным сетям (например, пользовательским или периметровым). На интерфейсах, подключенных к доверенным DHCP-серверам или ретрансляторам, функцию можно оставить включенной.