Были найдены опасные уязвимости в устройствах Cisco

30.03.2017

Специалисты компании Cisco выявили наличие уязвимости в своих продуктах. Ранее о ней упоминали Wikileaks документах ЦРУ. Уязвимость была замечена в больше чем 300 моделях коммутаторов. Таким образом вне безопасности находятся ОС Cisco IOS и Cisco IOS XE. Специалисты компании заявили, что специальный сервис для защиты от вредоносного кода еще не был разработан. Именно поэтому пользователям пока что придется быть поосторожнее.

Представители Cisco подтвердили, что в продукции есть уязвимость, детально описанная в документах ЦРУ.  Эти документы были опубликованы в марте на WikiLeaks. Такой вот «просвет» есть в 318 разных моделях коммутаторов. Бреши были найдены в моделях Catalyst и производственных аналогах IE. Надежной защиты от этой угрозы еще не придумали.

Это уязвимость «нулевого дня» с высоким уровнем риска для юзеров. Она может нанести вред ОС Cisco IOS и Cisco IOS XE. Благодаря таким дефектам можно удаленно управлять системой или получить особые «права». Это дает полный контроль над устройством.

Брешь была обнаружена в протоколе управления кластерами, передающем сигналы и команды между членами кластера. Это кластеры, что работают по протоколам Telnet или SSH. Главным недостатком являются специфические для CMP параметры отчета данных Telnet, потому как они «чувствительны» к любым подключениям по Telnet.

Есть и другая проблема – неправильная обработка дефектных характеристик. Эти параметры настроены по умолчанию и активны, даже если в конфигурации устройства нет соответствующих команд. Если хакер отправит неправильные параметры во время соединения с коммутатором по Telnet с использованием протоколов IPv4 или IPv6, то появиться возможность воспользоваться уязвимостью.

Патча пока что нет, и Cisco советуют простой и надежный способ защиты – отключить протокол Telnet. Есть и другой способ — можно воспользоваться списками управления доступом к инфраструктуре (iACL) для уменьшения вероятности атаки.

Есть смысл проверить существует ли подсистема CMP в Cisco IOS XE. Помимо этого, ее, а также Cisco IOS надо проверить и на предмет допущения входящих подключений к Telnet. Если оба ответа положительны - Cisco IOS XE является уязвимой.

Как проверить, есть ли подсистема CMP в запущенном программном образе? Необходимо выполнить специальную команду на оборудовании. Входящие подключения проверяются с помощью определенной команды. Если вы видите, что все соединения через виртуальные терминалы возможны только по протоколу SSH, то вы в безопасности.