Статті

Уязвимость «нулевого дня» в 318 коммутаторах Cisco. Патча пока нет.

22 марта, 2017. 10:03 Владимир Смирнов
Cisco нашла и подтвердила наличие уязвимости в своих продуктах, упомянутой в обнародованных Wikileaks документах ЦРУ. Уязвимость есть в более чем 300 моделях коммутаторов, и из-за нее под опасностью взлома находятся ОС Cisco IOS и Cisco IOS XE. Кому интересно – спешите воспользоваться, так как патча пока нет, а отключать один из протоколов станут не все.

Cisco подтвердила, что в ее продуктах есть уязвимость, описанная в документах ЦРУ, которые были обнародованы в начале марта на WikiLeaks. Брешь есть в 318(!) различных моделях коммутаторов, в основном в Cisco Catalyst и промышленных коммутаторах Cisco IE. Патча пока нет.

Это уязвимость «нулевого дня», имеющая критический характер. Она затрагивает ОС Cisco IOS и Cisco IOS XE и благодаря ей можно удаленно перезапустить систему или получить привилегию исполнения кода. Это дает контроль над устройством.

Уязвимость обнаружена в протоколе управления кластерами (CMP), передающем сигналы и команды между членами кластера. Это кластеры, работающие по протоколам Telnet или SSH. По сути, изъяном являются специфические для CMP параметры протокола Telnet, так как они восприимчивы для любого подключения к устройству по Telnet.

Существует и другая проблема – некорректная обработка дефектных параметров. Эти параметры настроены по умолчанию и активны, даже если в конфигурации устройства нет соответствующих команд. Если хакер отошлет неверные параметры во время установления сессии с коммутатором по Telnet с использованием протоколов IPv4 или IPv6 – он сможет воспользоваться уязвимостью.

Патча нет, и Cisco пока рекомендует простой и надежный способ защиты – отключить протокол Telnet. Если нельзя или лень – тогда надо воспользоваться списками управления доступом к инфраструктуре (iACL) – это понизит вероятность атаки.

Есть смысл проверить существует ли подсистема CMP в Cisco IOS XE. Кроме того, ее, а также Cisco IOS надо проверить и на предмет допущения входящих Telnet-подключений. Если оба ответы положительны – Cisco IOS XE является уязвимой.

Как проверить, есть ли подсистема CMP в запущенном программном образе? Выполните команду show subsys class protocol | include ^cmp из командной строки привилегированного CLI на устройстве. Входящие Telnet-подключения проверяются помощью команды show running-config | include ^line vty|transport input. Если окажется, что подключение через виртуальные терминалы возможно только по протоколу SSH, то вы в безопасности.

 

Материалы по теме:
Комментарии: