Уязвимость «нулевого дня» в 318 коммутаторах Cisco. Патча пока нет.
Cisco подтвердила, что в ее продуктах есть уязвимость, описанная в документах ЦРУ, которые были обнародованы в начале марта на WikiLeaks. Брешь есть в 318(!) различных моделях коммутаторов, в основном в Cisco Catalyst и промышленных коммутаторах Cisco IE. Патча пока нет.
Это уязвимость «нулевого дня», имеющая критический характер. Она затрагивает ОС Cisco IOS и Cisco IOS XE и благодаря ей можно удаленно перезапустить систему или получить привилегию исполнения кода. Это дает контроль над устройством.
Уязвимость обнаружена в протоколе управления кластерами (CMP), передающем сигналы и команды между членами кластера. Это кластеры, работающие по протоколам Telnet или SSH. По сути, изъяном являются специфические для CMP параметры протокола Telnet, так как они восприимчивы для любого подключения к устройству по Telnet.
Существует и другая проблема – некорректная обработка дефектных параметров. Эти параметры настроены по умолчанию и активны, даже если в конфигурации устройства нет соответствующих команд. Если хакер отошлет неверные параметры во время установления сессии с коммутатором по Telnet с использованием протоколов IPv4 или IPv6 – он сможет воспользоваться уязвимостью.
Патча нет, и Cisco пока рекомендует простой и надежный способ защиты – отключить протокол Telnet. Если нельзя или лень – тогда надо воспользоваться списками управления доступом к инфраструктуре (iACL) – это понизит вероятность атаки.
Есть смысл проверить существует ли подсистема CMP в Cisco IOS XE. Кроме того, ее, а также Cisco IOS надо проверить и на предмет допущения входящих Telnet-подключений. Если оба ответы положительны – Cisco IOS XE является уязвимой.
Как проверить, есть ли подсистема CMP в запущенном программном образе? Выполните команду show subsys class protocol | include ^cmp из командной строки привилегированного CLI на устройстве. Входящие Telnet-подключения проверяются помощью команды show running-config | include ^line vty|transport input. Если окажется, что подключение через виртуальные терминалы возможно только по протоколу SSH, то вы в безопасности.