Уязвимый коммутатор Cisco Catalyst 2960G-48TC-L. Фото: Cisco

Компания Cisco опубликовала информацию (ID бюллетеня: cisco-sa-20170317-cmp) о критической уязвимости в протоколе Cluster Management Protocol (CMP), который поставляется с программным обеспечением Cisco IOS XE Software. Уязвимость CVE-2017-3881 даёт возможность удалённого исполнения кода с повышенными привилегиями в межсетевой операционной системе Cisco IOS любым неавторизованным удалённым пользователем (которому известно о баге).

О нём точно было известно сотрудникам ЦРУ, что следует из документов, опубликованных на сайте Wikileaks в рамках проекта Vault 7 (Year Zero). Специалисты по безопасности Cisco говорят, что нашли информацию об уязвимости, проведя анализ этих документов.

Протокол CMP основан на протоколе telnet, но поддерживает специфические параметры. Баг связан с некорректной обработкой именно этих специфичных для CMP параметров, которые получены по telnet. Какие конкретно параметры нужно использовать для проявления бага при обработке запроса — не сообщается.

Компания Cisco публикует инструкцию, как проверить наличие подсистемы CMP в программном обеспечении, которое работает на устройстве.

Проверка CMP:

show subsys class protocol | include ^cmp

Если подсистема CMP отсутствует, ответ будет такой:

Switch#show subsys class protocol | include ^cmp
Switch#


Если подсистема CMP присутствует, ответ будет следующий:

Switch#show subsys class protocol | include ^cmp
cmp Protocol 1.000.001
Switch#


В случае наличия подсистемы CMP на вашем коммутаторе можно проверить, принимает ли CMP входящие соединения telnet. И, соответственно, можно ли провести на него вышеупомянутую атаку с удалённым исполнением кода путём специальным образом сформированной команды.

Проверка поддержки входящих соединений telnet:

show running-config | include ^line vty|transport input

Например, в случае использования настроек по умолчанию в строке виртуального терминала (VTY) будут просто указаны номера терминалов без особых примечаний:

Switch#show running-config | include ^line vty|transport input
line vty 0 4
line vty 5 15
Switch#


Настройки по умолчанию включают в себя входящие соединения telnet на всех виртуальных терминалах с 0-го по 15-й. Следовательно, это уязвимая конфигурация.

Для сравнения, вот специальная конфигурация, где только протокол SSH разрешен на всех виртуальных терминалах:

Switch#show running-config | include ^line vty|transport input
line vty 0 4
transport input ssh
line vty 5 15
transport input ssh
Switch#


Такая конфигурация не будет уязвимой.

Cisco проверила версии Cisco IOS XE Software и точно выяснила список 318 коммутаторов и других сетевых устройств, подверженных данной уязвимости. Если устройства нет в списке, то оно точно безопасно.

Список включает 264 коммутатора серии Catalyst, 40 промышленных коммутаторов серии Industrial Ethernet и 14 других устройств Cisco.

Модели уязвимых устройств
  • Cisco Catalyst 2350-48TD-S Switch
  • Cisco Catalyst 2350-48TD-SD Switch
  • Cisco Catalyst 2360-48TD-S Switch
  • Cisco Catalyst 2918-24TC-C Switch
  • Cisco Catalyst 2918-24TT-C Switch
  • Cisco Catalyst 2918-48TC-C Switch
  • Cisco Catalyst 2918-48TT-C Switch
  • Cisco Catalyst 2928-24TC-C Switch
  • Cisco Catalyst 2960-24-S Switch
  • Cisco Catalyst 2960-24LC-S Switch
  • Cisco Catalyst 2960-24LT-L Switch
  • Cisco Catalyst 2960-24PC-L Switch
  • Cisco Catalyst 2960-24PC-S Switch
  • Cisco Catalyst 2960-24TC-L Switch
  • Cisco Catalyst 2960-24TC-S Switch
  • Cisco Catalyst 2960-24TT-L Switch
  • Cisco Catalyst 2960-48PST-L Switch
  • Cisco Catalyst 2960-48PST-S Switch
  • Cisco Catalyst 2960-48TC-L Switch
  • Cisco Catalyst 2960-48TC-S Switch
  • Cisco Catalyst 2960-48TT-L Switch
  • Cisco Catalyst 2960-48TT-S Switch
  • Cisco Catalyst 2960-8TC-L Compact Switch
  • Cisco Catalyst 2960-8TC-S Compact Switch
  • Cisco Catalyst 2960-Plus 24LC-L Switch
  • Cisco Catalyst 2960-Plus 24LC-S Switch
  • Cisco Catalyst 2960-Plus 24PC-L Switch
  • Cisco Catalyst 2960-Plus 24PC-S Switch
  • Cisco Catalyst 2960-Plus 24TC-L Switch
  • Cisco Catalyst 2960-Plus 24TC-S Switch
  • Cisco Catalyst 2960-Plus 48PST-L Switch
  • Cisco Catalyst 2960-Plus 48PST-S Switch
  • Cisco Catalyst 2960-Plus 48TC-L Switch
  • Cisco Catalyst 2960-Plus 48TC-S Switch
  • Cisco Catalyst 2960C-12PC-L Switch
  • Cisco Catalyst 2960C-8PC-L Switch
  • Cisco Catalyst 2960C-8TC-L Switch
  • Cisco Catalyst 2960C-8TC-S Switch
  • Cisco Catalyst 2960CG-8TC-L Compact Switch
  • Cisco Catalyst 2960CPD-8PT-L Switch
  • Cisco Catalyst 2960CPD-8TT-L Switch
  • Cisco Catalyst 2960CX-8PC-L Switch
  • Cisco Catalyst 2960CX-8TC-L Switch
  • Cisco Catalyst 2960G-24TC-L Switch
  • Cisco Catalyst 2960G-48TC-L Switch
  • Cisco Catalyst 2960G-8TC-L Compact Switch
  • Cisco Catalyst 2960L-16PS-LL Switch
  • Cisco Catalyst 2960L-16TS-LL Switch
  • Cisco Catalyst 2960L-24PS-LL Switch
  • Cisco Catalyst 2960L-24TS-LL Switch
  • Cisco Catalyst 2960L-48PS-LL Switch
  • Cisco Catalyst 2960L-48TS-LL Switch
  • Cisco Catalyst 2960L-8PS-LL Switch
  • Cisco Catalyst 2960L-8TS-LL Switch
  • Cisco Catalyst 2960PD-8TT-L Compact Switch
  • Cisco Catalyst 2960S-24PD-L Switch
  • Cisco Catalyst 2960S-24PS-L Switch
  • Cisco Catalyst 2960S-24TD-L Switch
  • Cisco Catalyst 2960S-24TS-L Switch
  • Cisco Catalyst 2960S-24TS-S Switch
  • Cisco Catalyst 2960S-48FPD-L Switch
  • Cisco Catalyst 2960S-48FPS-L Switch
  • Cisco Catalyst 2960S-48LPD-L Switch
  • Cisco Catalyst 2960S-48LPS-L Switch
  • Cisco Catalyst 2960S-48TD-L Switch
  • Cisco Catalyst 2960S-48TS-L Switch
  • Cisco Catalyst 2960S-48TS-S Switch
  • Cisco Catalyst 2960S-F24PS-L Switch
  • Cisco Catalyst 2960S-F24TS-L Switch
  • Cisco Catalyst 2960S-F24TS-S Switch
  • Cisco Catalyst 2960S-F48FPS-L Switch
  • Cisco Catalyst 2960S-F48LPS-L Switch
  • Cisco Catalyst 2960S-F48TS-L Switch
  • Cisco Catalyst 2960S-F48TS-S Switch
  • Cisco Catalyst 2960X-24PD-L Switch
  • Cisco Catalyst 2960X-24PS-L Switch
  • Cisco Catalyst 2960X-24PSQ-L Cool Switch
  • Cisco Catalyst 2960X-24TD-L Switch
  • Cisco Catalyst 2960X-24TS-L Switch
  • Cisco Catalyst 2960X-24TS-LL Switch
  • Cisco Catalyst 2960X-48FPD-L Switch
  • Cisco Catalyst 2960X-48FPS-L Switch
  • Cisco Catalyst 2960X-48LPD-L Switch
  • Cisco Catalyst 2960X-48LPS-L Switch
  • Cisco Catalyst 2960X-48TD-L Switch
  • Cisco Catalyst 2960X-48TS-L Switch
  • Cisco Catalyst 2960X-48TS-LL Switch
  • Cisco Catalyst 2960XR-24PD-I Switch
  • Cisco Catalyst 2960XR-24PD-L Switch
  • Cisco Catalyst 2960XR-24PS-I Switch
  • Cisco Catalyst 2960XR-24PS-L Switch
  • Cisco Catalyst 2960XR-24TD-I Switch
  • Cisco Catalyst 2960XR-24TD-L Switch
  • Cisco Catalyst 2960XR-24TS-I Switch
  • Cisco Catalyst 2960XR-24TS-L Switch
  • Cisco Catalyst 2960XR-48FPD-I Switch
  • Cisco Catalyst 2960XR-48FPD-L Switch
  • Cisco Catalyst 2960XR-48FPS-I Switch
  • Cisco Catalyst 2960XR-48FPS-L Switch
  • Cisco Catalyst 2960XR-48LPD-I Switch
  • Cisco Catalyst 2960XR-48LPD-L Switch
  • Cisco Catalyst 2960XR-48LPS-I Switch
  • Cisco Catalyst 2960XR-48LPS-L Switch
  • Cisco Catalyst 2960XR-48TD-I Switch
  • Cisco Catalyst 2960XR-48TD-L Switch
  • Cisco Catalyst 2960XR-48TS-I Switch
  • Cisco Catalyst 2960XR-48TS-L Switch
  • Cisco Catalyst 2970G-24T Switch
  • Cisco Catalyst 2970G-24TS Switch
  • Cisco Catalyst 2975 Switch
  • Cisco Catalyst 3550 12G Switch
  • Cisco Catalyst 3550 12T Switch
  • Cisco Catalyst 3550 24 DC SMI Switch
  • Cisco Catalyst 3550 24 EMI Switch
  • Cisco Catalyst 3550 24 FX SMI Switch
  • Cisco Catalyst 3550 24 PWR Switch
  • Cisco Catalyst 3550 24 SMI Switch
  • Cisco Catalyst 3550 48 EMI Switch
  • Cisco Catalyst 3550 48 SMI Switch
  • Cisco Catalyst 3560-12PC-S Compact Switch
  • Cisco Catalyst 3560-24PS Switch
  • Cisco Catalyst 3560-24TS Switch
  • Cisco Catalyst 3560-48PS Switch
  • Cisco Catalyst 3560-48TS Switch
  • Cisco Catalyst 3560-8PC Compact Switch
  • Cisco Catalyst 3560C-12PC-S Switch
  • Cisco Catalyst 3560C-8PC-S Switch
  • Cisco Catalyst 3560CG-8PC-S Compact Switch
  • Cisco Catalyst 3560CG-8TC-S Compact Switch
  • Cisco Catalyst 3560CPD-8PT-S Compact Switch
  • Cisco Catalyst 3560CX-12PC-S Switch
  • Cisco Catalyst 3560CX-12PD-S Switch
  • Cisco Catalyst 3560CX-12TC-S Switch
  • Cisco Catalyst 3560CX-8PC-S Switch
  • Cisco Catalyst 3560CX-8PT-S Switch
  • Cisco Catalyst 3560CX-8TC-S Switch
  • Cisco Catalyst 3560CX-8XPD-S Switch
  • Cisco Catalyst 3560E-12D-E Switch
  • Cisco Catalyst 3560E-12D-S Switch
  • Cisco Catalyst 3560E-12SD-E Switch
  • Cisco Catalyst 3560E-12SD-S Switch
  • Cisco Catalyst 3560E-24PD-E Switch
  • Cisco Catalyst 3560E-24PD-S Switch
  • Cisco Catalyst 3560E-24TD-E Switch
  • Cisco Catalyst 3560E-24TD-S Switch
  • Cisco Catalyst 3560E-48PD-E Switch
  • Cisco Catalyst 3560E-48PD-EF Switch
  • Cisco Catalyst 3560E-48PD-S Switch
  • Cisco Catalyst 3560E-48PD-SF Switch
  • Cisco Catalyst 3560E-48TD-E Switch
  • Cisco Catalyst 3560E-48TD-S Switch
  • Cisco Catalyst 3560G-24PS Switch
  • Cisco Catalyst 3560G-24TS Switch
  • Cisco Catalyst 3560G-48PS Switch
  • Cisco Catalyst 3560G-48TS Switch
  • Cisco Catalyst 3560V2-24DC Switch
  • Cisco Catalyst 3560V2-24PS Switch
  • Cisco Catalyst 3560V2-24TS Switch
  • Cisco Catalyst 3560V2-48PS Switch
  • Cisco Catalyst 3560V2-48TS Switch
  • Cisco Catalyst 3560X-24P-E Switch
  • Cisco Catalyst 3560X-24P-L Switch
  • Cisco Catalyst 3560X-24P-S Switch
  • Cisco Catalyst 3560X-24T-E Switch
  • Cisco Catalyst 3560X-24T-L Switch
  • Cisco Catalyst 3560X-24T-S Switch
  • Cisco Catalyst 3560X-24U-E Switch
  • Cisco Catalyst 3560X-24U-L Switch
  • Cisco Catalyst 3560X-24U-S Switch
  • Cisco Catalyst 3560X-48P-E Switch
  • Cisco Catalyst 3560X-48P-L Switch
  • Cisco Catalyst 3560X-48P-S Switch
  • Cisco Catalyst 3560X-48PF-E Switch
  • Cisco Catalyst 3560X-48PF-L Switch
  • Cisco Catalyst 3560X-48PF-S Switch
  • Cisco Catalyst 3560X-48T-E Switch
  • Cisco Catalyst 3560X-48T-L Switch
  • Cisco Catalyst 3560X-48T-S Switch
  • Cisco Catalyst 3560X-48U-E Switch
  • Cisco Catalyst 3560X-48U-L Switch
  • Cisco Catalyst 3560X-48U-S Switch
  • Cisco Catalyst 3750 Metro 24-AC Switch
  • Cisco Catalyst 3750 Metro 24-DC Switch
  • Cisco Catalyst 3750-24FS Switch
  • Cisco Catalyst 3750-24PS Switch
  • Cisco Catalyst 3750-24TS Switch
  • Cisco Catalyst 3750-48PS Switch
  • Cisco Catalyst 3750-48TS Switch
  • Cisco Catalyst 3750E-24PD-E Switch
  • Cisco Catalyst 3750E-24PD-S Switch
  • Cisco Catalyst 3750E-24TD-E Switch
  • Cisco Catalyst 3750E-24TD-S Switch
  • Cisco Catalyst 3750E-48PD-E Switch
  • Cisco Catalyst 3750E-48PD-EF Switch
  • Cisco Catalyst 3750E-48PD-S Switch
  • Cisco Catalyst 3750E-48PD-SF Switch
  • Cisco Catalyst 3750E-48TD-E Switch
  • Cisco Catalyst 3750E-48TD-S Switch
  • Cisco Catalyst 3750G-12S Switch
  • Cisco Catalyst 3750G-12S-SD Switch
  • Cisco Catalyst 3750G-16TD Switch
  • Cisco Catalyst 3750G-24PS Switch
  • Cisco Catalyst 3750G-24T Switch
  • Cisco Catalyst 3750G-24TS Switch
  • Cisco Catalyst 3750G-24TS-1U Switch
  • Cisco Catalyst 3750G-48PS Switch
  • Cisco Catalyst 3750G-48TS Switch
  • Cisco Catalyst 3750V2-24FS Switch
  • Cisco Catalyst 3750V2-24PS Switch
  • Cisco Catalyst 3750V2-24TS Switch
  • Cisco Catalyst 3750V2-48PS Switch
  • Cisco Catalyst 3750V2-48TS Switch
  • Cisco Catalyst 3750X-12S-E Switch
  • Cisco Catalyst 3750X-12S-S Switch
  • Cisco Catalyst 3750X-24P-E Switch
  • Cisco Catalyst 3750X-24P-L Switch
  • Cisco Catalyst 3750X-24P-S Switch
  • Cisco Catalyst 3750X-24S-E Switch
  • Cisco Catalyst 3750X-24S-S Switch
  • Cisco Catalyst 3750X-24T-E Switch
  • Cisco Catalyst 3750X-24T-L Switch
  • Cisco Catalyst 3750X-24T-S Switch
  • Cisco Catalyst 3750X-24U-E Switch
  • Cisco Catalyst 3750X-24U-L Switch
  • Cisco Catalyst 3750X-24U-S Switch
  • Cisco Catalyst 3750X-48P-E Switch
  • Cisco Catalyst 3750X-48P-L Switch
  • Cisco Catalyst 3750X-48P-S Switch
  • Cisco Catalyst 3750X-48PF-E Switch
  • Cisco Catalyst 3750X-48PF-L Switch
  • Cisco Catalyst 3750X-48PF-S Switch
  • Cisco Catalyst 3750X-48T-E Switch
  • Cisco Catalyst 3750X-48T-L Switch
  • Cisco Catalyst 3750X-48T-S Switch
  • Cisco Catalyst 3750X-48U-E Switch
  • Cisco Catalyst 3750X-48U-L Switch
  • Cisco Catalyst 3750X-48U-S Switch
  • Cisco Catalyst 4000 Supervisor Engine I
  • Cisco Catalyst 4000/4500 Supervisor Engine IV
  • Cisco Catalyst 4000/4500 Supervisor Engine V
  • Cisco Catalyst 4500 Series Supervisor Engine II-Plus
  • Cisco Catalyst 4500 Series Supervisor Engine II-Plus-TS
  • Cisco Catalyst 4500 Series Supervisor Engine V-10GE
  • Cisco Catalyst 4500 Series Supervisor II-Plus-10GE
  • Cisco Catalyst 4500 Supervisor Engine 6-E
  • Cisco Catalyst 4500 Supervisor Engine 6L-E
  • Cisco Catalyst 4900M Switch
  • Cisco Catalyst 4928 10 Gigabit Ethernet Switch
  • Cisco Catalyst 4948 10 Gigabit Ethernet Switch
  • Cisco Catalyst 4948 Switch
  • Cisco Catalyst 4948E Ethernet Switch
  • Cisco Catalyst 4948E-F Ethernet Switch
  • Cisco Catalyst Blade Switch 3020 for HP
  • Cisco Catalyst Blade Switch 3030 for Dell
  • Cisco Catalyst Blade Switch 3032 for Dell M1000E
  • Cisco Catalyst Blade Switch 3040 for FSC
  • Cisco Catalyst Blade Switch 3120 for HP
  • Cisco Catalyst Blade Switch 3120X for HP
  • Cisco Catalyst Blade Switch 3130 for Dell M1000E
  • Cisco Catalyst C2928-24LT-C Switch
  • Cisco Catalyst C2928-48TC-C Switch
  • Cisco Catalyst Switch Module 3012 for IBM BladeCenter
  • Cisco Catalyst Switch Module 3110 for IBM BladeCenter
  • Cisco Catalyst Switch Module 3110X for IBM BladeCenter
  • Cisco Embedded Service 2020 24TC CON B Switch
  • Cisco Embedded Service 2020 24TC CON Switch
  • Cisco Embedded Service 2020 24TC NCP B Switch
  • Cisco Embedded Service 2020 24TC NCP Switch
  • Cisco Embedded Service 2020 CON B Switch
  • Cisco Embedded Service 2020 CON Switch
  • Cisco Embedded Service 2020 NCP B Switch
  • Cisco Embedded Service 2020 NCP Switch
  • Cisco Enhanced Layer 2 EtherSwitch Service Module
  • Cisco Enhanced Layer 2/3 EtherSwitch Service Module
  • Cisco Gigabit Ethernet Switch Module (CGESM) for HP
  • Cisco IE 2000-16PTC-G Industrial Ethernet Switch
  • Cisco IE 2000-16T67 Industrial Ethernet Switch
  • Cisco IE 2000-16T67P Industrial Ethernet Switch
  • Cisco IE 2000-16TC Industrial Ethernet Switch
  • Cisco IE 2000-16TC-G Industrial Ethernet Switch
  • Cisco IE 2000-16TC-G-E Industrial Ethernet Switch
  • Cisco IE 2000-16TC-G-N Industrial Ethernet Switch
  • Cisco IE 2000-16TC-G-X Industrial Ethernet Switch
  • Cisco IE 2000-24T67 Industrial Ethernet Switch
  • Cisco IE 2000-4S-TS-G Industrial Ethernet Switch
  • Cisco IE 2000-4T Industrial Ethernet Switch
  • Cisco IE 2000-4T-G Industrial Ethernet Switch
  • Cisco IE 2000-4TS Industrial Ethernet Switch
  • Cisco IE 2000-4TS-G Industrial Ethernet Switch
  • Cisco IE 2000-8T67 Industrial Ethernet Switch
  • Cisco IE 2000-8T67P Industrial Ethernet Switch
  • Cisco IE 2000-8TC Industrial Ethernet Switch
  • Cisco IE 2000-8TC-G Industrial Ethernet Switch
  • Cisco IE 2000-8TC-G-E Industrial Ethernet Switch
  • Cisco IE 2000-8TC-G-N Industrial Ethernet Switch
  • Cisco IE 3000-4TC Industrial Ethernet Switch
  • Cisco IE 3000-8TC Industrial Ethernet Switch
  • Cisco IE-3010-16S-8PC Industrial Ethernet Switch
  • Cisco IE-3010-24TC Industrial Ethernet Switch
  • Cisco IE-4000-16GT4G-E Industrial Ethernet Switch
  • Cisco IE-4000-16T4G-E Industrial Ethernet Switch
  • Cisco IE-4000-4GC4GP4G-E Industrial Ethernet Switch
  • Cisco IE-4000-4GS8GP4G-E Industrial Ethernet Switch
  • Cisco IE-4000-4S8P4G-E Industrial Ethernet Switch
  • Cisco IE-4000-4T4P4G-E Industrial Ethernet Switch
  • Cisco IE-4000-4TC4G-E Industrial Ethernet Switch
  • Cisco IE-4000-8GS4G-E Industrial Ethernet Switch
  • Cisco IE-4000-8GT4G-E Industrial Ethernet Switch
  • Cisco IE-4000-8GT8GP4G-E Industrial Ethernet Switch
  • Cisco IE-4000-8S4G-E Industrial Ethernet Switch
  • Cisco IE-4000-8T4G-E Industrial Ethernet Switch
  • Cisco IE-4010-16S12P Industrial Ethernet Switch
  • Cisco IE-4010-4S24P Industrial Ethernet Switch
  • Cisco IE-5000-12S12P-10G Industrial Ethernet Switch
  • Cisco IE-5000-16S12P Industrial Ethernet Switch
  • Cisco ME 4924-10GE Switch
  • Cisco RF Gateway 10
  • Cisco SM-X Layer 2/3 EtherSwitch Service Module

Попытки эксплуатации данной уязвимости можно увидеть в логах по сигнатурам Cisco IPS Signature 7880-0, Snort SID 41909 и 41910, пишет компания Cisco.

Обойти уязвимость каким-либо способом невозможно, только если полностью отключить входящие telnet-соединения и оставить SSH. На данный момент Cisco рекомендует такую конфигурацию. Если отключение telnet для вас неприемлемо, можно уменьшить вероятность атаки, ограничив доступ с помощью Infrastructure Protection Access Control Lists.

Cisco пообещала выпустить патч в будущем.

Cisco стала первым из крупных производителей аппаратного обеспечения, который выявил уязвимость, упомянутую в документах ЦРУ. Пока что о закрытии багов сообщали только разработчики программного обеспечения. Разумеется, документы ещё следует внимательно проанализировать. Сайт Wikileaks пока не выложил файлы эксплойтов ЦРУ в открытый доступ, но обещал предоставить их в первую очередь вендорам для приоритетного закрытия уязвимостей, прежде чем отдать эти инструменты в руки всех желающих. Джулиан Ассанж также упомянул, что опубликованная порция Year Zero — всего 1% от общего объёма Vault 7. Документы находятся в распоряжении Wikileaks и будут выкладываться по частям.
Поделиться с друзьями
-->

Комментарии (26)


  1. Tufed
    21.03.2017 14:01
    +1

    закрыть уязвимость — это только закрыть первую дверь. Если к железке уже подключались и уже модифицировали под свои нужды, то нужно еще и эту дрянь убирать. Что-то мне подсказывает что чтобы не использовать эксплойт каждый раз (и вдруг его прикроют) — всяко лучше перебрать доступные железки и залепить туда аккуратненький бэкдор. Для сетевых железок которые онлайн 24/7/356 и которые гонят через себя магистрали — я бы лично так и сделал, а это в первую очередь.


    1. Sadler
      21.03.2017 14:31

      Бэкапьте рабочую конфигурацию железки и прошивку после первоначальной настройки. Это коммутатор, вряд ли Вы ежедневно крутите его параметры.


    1. lrsi
      21.03.2017 15:24

      Возми чистую флешку, залей свежескаченный ios, залей конфиг из бекапа — всех делов-то на 5 минут. Заодно и обновишся… :)

      Для сетевых железок которые онлайн 24/7/356 и которые гонят через себя магистрали

      В списке практически нет «магистрального» железа, под него подходит всего пара перечисленных моделей да и то — с натяжкой. Остальное — чисто access switch, то есть — из внешней сети скорей всего недоступен бай дефолт.


  1. past
    21.03.2017 14:46

    Telnet такой telnet.


    1. mitasamodel
      21.03.2017 23:57

      Протокол CMP основан на протоколе telnet, но поддерживает специфические параметры. Баг связан с некорректной обработкой именно этих специфичных для CMP параметров, которые получены по telnet.

      Ethernet такой Ethernet… Сколько дряни через него поступает на компьютеры. /joke


  1. turbidit
    21.03.2017 15:08

    Я правильно помню, что в РФ k9 не продавался, а стало быть и ssh было недоступно?


    1. OnelaW
      22.03.2017 17:43

      плохо помните, к9 хорошо продавалось даже во времена запрета и чисткой в рядах партнеров.


    1. BlackGorunuch
      23.03.2017 10:38

      Не продавался, но думаю стоит у многих ))


  1. maxfs2
    21.03.2017 16:34

    Старенький Cisco Catalyst WS-C2950-24 при указании команды

    show subsys class protocol | include ^cmp
    выдает
    cmp Protocol 1.000.001
    А в списке устройств его нет. Стало быть, список не полон?


    1. DeatherT
      22.03.2017 11:18

      Это оборудование давно EoL, поэтому и нет в списке.


  1. menraen
    21.03.2017 17:56
    +2

    По нынешней тенденции давать уязвимостям имена типа Heartbleed, Shellshock, и т.п. предлагаю эту штуку назвать «ClusterF#ck» :)


  1. wikipro
    21.03.2017 18:49
    +1

    может хватит уже БекДоры АНБ/ЦРУ называть уязвимостями или багами…
    по моему никто не верит что АНБ и ЦРУ как Стахановцы готовы только коммутаторы Циско взламывать по 318 за раз.
    PS Есть большое подозрение что когда вскрывается 1 дырка которая на самом деле была закладка и вендоры вынуждены выпускать патч, то в этом патче или следующем содержится новый бекдор.
    Возможно имеет смысл порыться и дизасемблировать патчи Windows, которые затыкают вскрытые бекдоры. По моей теории в них или последующих патчах/апгрейдах на эту подсистему (например Стек TCP/IP) д.б. новые бекдоры. Патчи сравнительно маленькие и проанализировать их проще чем весть код стека TCP/IP или прошивки устройства. причём т.к. прошивки меняют сильно реже то по моим предположениям, каждый патч должен содержать новый бекдор, а искать его надо только в изменённом коде прошивки.
    Хотелось бы комментариев моей теории от специалистов.


    1. TimsTims
      22.03.2017 09:31

      имеет смысл порыться и дизасемблировать патчи Windows

      Бекдоры на то и бекдоры, что их так просто не разглядеть дисассемблировав.


    1. xby
      22.03.2017 11:18

      Как говорится, «с языка снял», поддерживаю эту точку зрения на 100%. Да и изначально, совсем не обязательно было всей Cisco или Microsoft знать об этих «багах», просто конкретный человек делает свое дело для конторы и иже с ними. А даже если и знали, то неужели кто-то верит, что они сейчас посыпая голову пеплом бренды скажут, что знали…


  1. Rend
    22.03.2017 00:25
    +1

    Cisco пообещала выпустить патч в будущем.

    И патч будет доступен только при наличии активной подписки. А подписка — только за денежку.


    1. bikerr
      22.03.2017 09:12

      На подобные коммутаторы ПО всегда доступно через гостевой аккаунт без смартнета.


    1. VitMain
      22.03.2017 10:02

      Для большей части коммутаторов софт можно слить просто создав пользователя на сайте Cisco.


  1. Chupaka
    22.03.2017 10:01

    "Cisco стала первым из крупных производителей аппаратного обеспечения, который выявил уязвимость, упомянутую в документах ЦРУ"


    Вроде и не скажешь, что MikroTik сильно мелкие, так что спорное утверждение: https://forum.mikrotik.com/viewtopic.php?f=21&t=119308


    1. DeatherT
      22.03.2017 11:22

      В сравнении с Cisco — сильно мелкие


      1. Chupaka
        22.03.2017 13:18

        Так и Juniper мелкий в сравнении с Cisco — на один порядок ниже выручка. Как и у Mikrotikls на один порядок ниже, чем у Juniper. Так что неплохо бы как-то обозначать критерии крупности при таких утверждениях :)


  1. grims
    22.03.2017 10:02

    cat0#show subsys class protocol | include ^cmp
    cmp Protocol 1.000.001

    cat0#show running-config | include ^line vty|transport input
    line vty 0 4
    line vty 5 15

    Чтобы это могла значить?


  1. alhel
    22.03.2017 10:02

    Коллеги подскажите, предоставляет ли cisco обновленные прошивки, хотя бы безопасности без контракта и прочего? Может неофициальный ресурс подскажите с последними прошивками.


    1. Ugrum
      22.03.2017 10:07

      Может неофициальный ресурс подскажите с последними прошивками.

      И свежими дырками.


    1. zanswer
      22.03.2017 10:54

      Да, предоставляет, официально, с некоторыми оговорками, регулируется это Security Vulnerability Policy: http://www.cisco.com/c/en/us/about/security-center/security-vulnerability-policy.html#ssu

      Процедура выглядит следующим образом, вы открываете в TAC заявку на обновление программного обеспечения. В качестве причины, указываете на конкретный опубликованный Cisco документ (только на их сайте, это очень важно!), о том, что программное обеспечение, установленное на вашем устройстве, подвержено уязвимости. После анализа вашей ситуации, инженер TAC направит официальный запрос на выдачу, вам обновления, версию обновления вы выберете сами.

      P/S/ Я не так давно, сам проходил данную процедуру и хотя инженер TAC трижды сказал, что мне нужен контракт, тем не менее, после того, как я указал на документ выше, он согласился, что я всё же имею право на получение обновления в данном конкретном случае.


      1. alhel
        22.03.2017 14:30

        zanswer, спасибо


  1. hp6812er
    23.03.2017 22:38

    Мне вот интересно, ну, допустим, с коммутаторами можно найти альтернативу, купить отечественные. Но как быть с маршрутизаторами? Альтернатива китай, хуавей, а как у них с закладками?