Cisco устранила девять багов удаленного исполнения кода в подсистеме SNMP, работающей в составе пакетов IOS и IOS XE. Компания предупредила пользователей о брешах, раскрытых третьей стороной, 29 июня, порекомендовав ряд временных мер по защите от атаки. На прошлой неделе этот бюллетень был дополнен сообщением о наличии патчей.

По словам Cisco, все девять уязвимостей (с CVE-2017-6736 по CVE-2017-6744) позволяют удаленному, прошедшему аутентификацию злоумышленнику осуществить эксплойт с помощью специально сформированного SNMP-пакета. «Успешная эксплуатация позволит автору атаки выполнить произвольный код и получить полный контроль над системой или спровоцировать перезагрузку уязвимой системы», – предупреждает разработчик.

Согласно бюллетеню, серьезные бреши, обнаруженные специалистами Cisco в ходе плановой проверки, затрагивают все прежние выпуски обеих ОС и все версии SNMP-протокола (1, 2c и 3). Если уязвимая система использует SNMP версии 2c или ниже, инициатору эксплойта должна быть известна SNMP-строка доступа «только чтение». Если используется SNMPv3, злоумышленнику придется раздобыть реквизиты пользователя.

Cisco также отметила, что эксплойт вероятен для устройств, настройки которых предполагают работу какой-либо базы данных для управления сетью (MIB) из следующего списка (все они по умолчанию активируются при включении SNMP):

  • ADSL-LINE-MIB
  • ALPS-MIB
  • CISCO-ADSL-DMT-LINE-MIB
  • CISCO-BSTUN-MIB
  • CISCO-MAC-AUTH-BYPASS-MIB
  • CISCO-SLB-EXT-MIB
  • CISCO-VOICE-DNIS-MIB
  • CISCO-VOICE-NUMBER-EXPANSION-MIB
  • TN3270E-RT-MIB

«Некоторые из этих MIB могут отсутствовать в системе или версии, однако при наличии они всегда включены», – уточняет Cisco. До выпуска патчей компания советовала отключить перечисленные выше MIB-базы.

«Чтобы просмотреть список активированных MIB на устройстве, администратор обычно использует команду show snmp mib в привилегированном режиме EXEC, – сказано далее в бюллетене. – Однако не все MIB отображаются в результате, хотя они могут быть включены». Пользователям рекомендовалось поставить весь список в исключения.

Ныне, кроме установки патчей, Cisco советует администраторам сетей регулярно менять в протоколе строки, используемые для ограничения доступа на чтение и запись к SNMP-данным на устройствах, работающих под IOS или IOS XE. «Строки доступа, как и все пароли, нужно тщательно выбирать, они не должны быть легко угадываемыми, – пишет Cisco. – Их также следует менять через регулярные промежутки времени и в соответствии с политиками обеспечения безопасности сети».

На просьбу Threatpost назвать внешние источники, предавшие бреши гласности до выхода бюллетеня, компания пока не ответила.

Категории: Уязвимости