CVE-2023-20109

Cisco IOS and IOS XE

ВЕРОЯТНОСТЬ 0.6%
Дата обнаружения

2023-10-10

Официальное описание

Cisco IOS and IOS XE contain an out-of-bounds write vulnerability in the Group Encrypted Transport VPN (GET VPN) feature that could allow an authenticated, remote attacker who has administrative control of either a group member or a key server to execute malicious code or cause a device to crash.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-20109 представляет собой критическую уязвимость записи за пределами границ (out-of-bounds write) в компоненте Group Encrypted Transport VPN (GET VPN) операционных систем Cisco IOS и IOS XE. Проблема возникает из-за недостаточной проверки данных при обработке протокола GDOI (Group Domain of Interpretation) или протокола GKE (GDOI Key Exchange).

Атакующий, обладающий правами администратора на одном из участников группы (Group Member) или на сервере ключей (Key Server), может отправить специально сформированный пакет GDOI. Это позволяет выполнить произвольный код с привилегиями уровня ядра или вызвать полный отказ в обслуживании (crash) устройства. Несмотря на требование аутентификации, уязвимость критична, так как позволяет скомпрометированному узлу сети захватить контроль над всей инфраструктурой GET VPN.

Как исправить

Единственным надежным способом устранения уязвимости является обновление программного обеспечения до версии, в которой данная ошибка исправлена.

  1. Определите текущую версию операционной системы:
show version
  1. Проверьте статус GET VPN на устройстве:
show crypto gdoi
  1. Перейдите на официальный портал Cisco Software Central и загрузите исправленную версию (Release) в соответствии с вашей веткой ПО:
  2. Для IOS XE: версии 17.9.4, 17.12.1 и выше.

  3. Для IOS: версии 15.9(3)M8 и выше.

  4. Установите обновление (пример для IOS XE):

request platform software package install switch all file flash:исправленный_образ.bin activate commit

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать поверхность атаки и ограничить доступ к управлению устройствами.

  1. Ограничьте список доверенных IP-адресов, которые могут взаимодействовать с Key Server, используя списки контроля доступа (ACL):
ip access-list extended RESTRICT_GDOI
permit udp host <TRUSTED_GM_IP> any eq 848
deny udp any any eq 848
  1. Примените ACL на интерфейсах, смотрящих в сторону Group Members:
interface <INTERFACE_NAME>
ip access-group RESTRICT_GDOI in

  1. Отзовите административные привилегии у всех учетных записей, где это не требуется для операционной деятельности, чтобы предотвратить компрометацию узла администратора.

  2. Настройте мониторинг системных журналов на предмет аномальных перезагрузок или ошибок в процессах GDOI:

logging trap notifications
logging host <SYSLOG_SERVER_IP>
  1. Если функционал GET VPN не используется в данный момент, полностью отключите соответствующие конфигурации на интерфейсах и удалите крипто-карты.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей