CVE-2018-0179

Cisco IOS Software

ВЕРОЯТНОСТЬ 2.0%
Дата обнаружения

2022-03-03

Официальное описание

A vulnerability in the Login Enhancements (Login Block) feature of Cisco IOS Software could allow an unauthenticated, remote attacker to trigger a reload of an affected system, resulting in a denial of service (DoS) condition.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в функции Login Block (Login Enhancements) Cisco IOS позволяет удаленному злоумышленнику без аутентификации вызвать перезагрузку уязвимого устройства, что приводит к отказу в обслуживании (DoS).

Атака возможна через: * Telnet-соединение к уязвимому устройству. * SSH-соединение к уязвимому устройству. * HTTP/HTTPS-доступ к веб-интерфейсу устройства (если он включен).

Механизм: отправка специально сформированной последовательности символов во время процесса входа в систему, которая приводит к сбою в обработчике функции блокировки входа.

Как исправить

Основное решение — обновить ПО Cisco IOS до исправленной версии. Уязвимость устранена в следующих релизах:

  • Для Cisco IOS 15.4(2)T и более ранних в ветке 15.4 — обновитесь до 15.4(2)T4 или новее.
  • Для Cisco IOS 15.5(1)T и более ранних в ветке 15.5 — обновитесь до 15.5(1)T2 или новее.
  • Для Cisco IOS 15.6(1)T и более ранних в ветке 15.6 — обновитесь до 15.6(1)T2 или новее.
  • Для Cisco IOS 15.6(2)M — обновитесь до 15.6(2)M2 или новее.
  • Для Cisco IOS 15.6(3)M — обновитесь до 15.6(3)M1 или новее.

Проверка текущей версии:

show version | include IOS

Загрузка и установка нового образа: 1. Скачайте исправленный образ с портала Cisco Software Center. 2. Скопируйте его на устройство (например, через TFTP). bash copy tftp://<server_ip>/<image_name>.bin flash: 3. Настройте устройство на загрузку с нового образа и перезагрузите. bash configure terminal boot system flash:<image_name>.bin end write memory reload

Временное решение

Если немедленное обновление невозможно, примените следующие меры:

  1. Отключите функцию Login Block (Login Enhancements). Это основная временная мера. bash configure terminal no login block-for <seconds> attempts <tries> within <seconds> end write memory Проверьте текущую конфигурацию командой show running-config | include login block-for.

  2. Ограничьте доступ к сервисам входа. Разрешите подключения только с доверенных управляющих сетей. bash configure terminal ! Для VTY линий (Telnet/SSH) line vty 0 15 access-class <ACL_NUMBER> in exit ! Для HTTP/HTTPS ip http access-class <ACL_NUMBER> ip http secure-server ip http secure-trustpoint <TRUSTPOINT_NAME> (для HTTPS) exit write memory Где <ACL_NUMBER> — номер ACL, разрешающей только IP-адреса администраторов.

  3. Отключите неиспользуемые сервисы. Если не используется: bash configure terminal no ip http server no ip http secure-server end write memory

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей