CVE-2026-7473

Arista Extensible Operating System

СРЕДНИЙ РИСК
Вероятность (EPSS) 0.8%
Тяжесть (CVSS) CVSS 5.8
Дата обнаружения

2026-06-09

Профиль угрозы (Вектор)
Доступ
Сеть
Сложность
Низкая
Привилегии
Не требуются
Жертва
Бездействует
Строка: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N
Официальное описание

Arista Extensible Operating System (EOS) contains an incomplete comparison with missing factors vulnerability when the switch incorrectly decapsulate and forwards other unexpected tunneled packet with a destination IP matching its configured decapsulation IP.

Технический анализ и план устранения

Суть уязвимости

Уязвимость CVE-2026-7473 в Arista EOS связана с неполной проверкой параметров при декапсуляции трафика (Incomplete Comparison). Коммутатор некорректно обрабатывает туннелированные пакеты, если IP-адрес назначения во внешнем заголовке совпадает с настроенным IP-адресом декапсуляции устройства. Из-за отсутствия проверки дополнительных факторов (например, типа протокола или специфических флагов туннеля) устройство может ошибочно декапсулировать и пересылать непреднамеренный трафик, что создает риски обхода политик безопасности, несанкционированного доступа к внутренним сегментам сети или проведения атак типа Spoofing.

Как исправить

Основным способом устранения является обновление операционной системы EOS до версии, в которой реализована строгая проверка заголовков туннелирования.

  1. Проверьте текущую версию ПО:
show version
  1. Загрузите исправленный образ EOS с портала поддержки Arista и скопируйте его на устройство:
copy https://[server_address]/EOS-X.X.X.swi extension:
  1. Установите новый образ в качестве загрузочного:
boot system flash:EOS-X.X.X.swi
  1. Сохраните конфигурацию и перезагрузите устройство для применения изменений:
write memory
reload

Временные меры

Если немедленное обновление невозможно, необходимо ограничить входящий туннелированный трафик с помощью списков контроля доступа (ACL) и функций Control Plane Protection (CoPP).

  1. Создайте ACL для фильтрации трафика, направленного на IP-адреса декапсуляции, разрешая только доверенные источники:
ip access-list ACL_PROTECT_DECAP
permit gre host [TRUSTED_SOURCE] host [DECAP_IP]
permit ip host [TRUSTED_SOURCE] host [DECAP_IP]
deny ip any host [DECAP_IP]
permit ip any any
  1. Примените ACL на интерфейсах, принимающих туннелированный трафик:
interface Ethernet1
ip access-group ACL_PROTECT_DECAP in
  1. Настройте Control Plane Policy для блокировки подозрительных инкапсулированных пакетов, терминирующихся на процессоре коммутатора:
system control-plane
ip receive access-group ACL_PROTECT_DECAP
  1. Отключите неиспользуемые функции туннелирования (VXLAN, GRE, IP-in-IP) на интерфейсах, где они не требуются по архитектуре сети.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
Обсуждение и опыт коллег
0
Чтобы оставить комментарий, необходимо войти или зарегистрироваться.

Пока никто не поделился опытом.
Станьте первым!

← Вернуться к списку уязвимостей