При разработке и создании нового набора сигнатур Системы обнаружения и предотвращения вторжений (СОВ) Dallas Lock были добавлены сигнатуры, защищающие от следующих новых уязвимостей (подробнее о каждой из уязвимостей можно прочесть на сайте https://cve.mitre.org/):
CVE-2018-0891;
CVE-2017-5375;
CVE-2018-7583;
CVE-2018-7264;
CVE-2018-7658;
CVE-2018-7582;
CVE-2018-6947;
CVE-2018-6389;
CVE-2018-1297;
CVE-2018-0840.
Все вышеуказанные и многие другие уязвимости были устранены с помощью сигнатур системы обнаружения и предотвращения вторжений Dallas Lock.
Также специалисты ООО «Конфидент» обратили внимание на уязвимость в функции Smart Install программного обеспечения Cisco IOS и программного обеспечения Cisco IOS XE, получившую идентификатор CVE-2018-0171.
Уязвимость CVE-2018-0171 вызвана неправильной проверкой пакетных данных. Злоумышленник может воспользоваться этой уязвимостью, отправив обработанное сообщение Smart Install на поврежденное устройство через открытый TCP-порт 4786. Успешный эксплоит позволяет злоумышленнику удаленно выполнять произвольный код без проверки подлинности. Таким образом, он может получить полный контроль над уязвимым сетевым оборудованием.
Затронутое оборудование/программное обеспечение:
Catalyst 4500 Supervisor Engines;
Catalyst 4500 Supervisor Engines;
Cisco Catalyst 2960 Series Switches.
Потенциально уязвимы:
Catalyst 4500 Supervisor Engines;
Catalyst 3850 Series;
Catalyst 3750 Series;
Catalyst 3650 Series;
Catalyst 3560 Series;
Catalyst 2960 Series;
Catalyst 2975 Series;
IE 2000;
IE 3000;
IE 3010;
IE 4000;
IE 4010;
IE 5000;
SM-ES2 SKUs;
SM-ES3 SKUs;
NME-16ES-1G-P;
SM-X-ES3 SKUs.
Атака с использованием описанной уязвимости производится не на пользовательское рабочее место, а на сетевое оборудование. Так как в настоящий момент мы разрабатываем сигнатуры только для СОВ уровня узла, то не предоставляем сигнатуру для данной уязвимости, но предлагаем воспользоваться рекомендациями по безопасности.
Рекомендации по безопасности:
1. Компания Cisco уже выпустила официальные обновления. Если вы используете уязвимое ПО, необходимо загрузить обновление на странице:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2
2. Отключите Smart Install Client. Если же он необходим, можно установить Access Control List на доступ к TCP порту 4786.
Подробную информацию по всему набору сигнатур вы можете получить по идентификационному номеру уязвимости, который находится во вкладке:
СОВ ⇒ Сигнатуры ⇒ Сигнатуры трафика ⇒ Информация об уязвимости
Поделиться: |
|