Уязвимость на основе Сisco smart install (CWE-20 CWE-121).
Проверяем уязвим ли наш коммутатор:
SW#show vstack config
Role: Client (SmartInstall enabled)
У нас включена эта служба, смотрим открыт ли уязвимый порт 4786
SW>show tcp brief all
TCB Local Address Foreign Address (state)
0344B794 *.4786 *.* LISTEN
0350A018 *.443 *.* LISTEN
03293634 *.443 *.* LISTEN
03292D9C *.80 *.* LISTEN
03292504 *.80 *.* LISTEN
У нас порт открыт.
Самый простой способ борьбы - отключить функцию smart install т.к. она нужна для удаленной настройки коммутаторов и в ежедневной его работе не нужна.
Все довольно просто. Подключаемся к коммутатору и входим в режим конфигурации
SW#config
И вводим команду no vstack
SW(config)#no vstack
Выходим из режима конфигурации и проверяем:
SW(config)#exit
SW#show vstack config
Role: Client (SmartInstall disabled)
Не забываем сохранить конфигурацию, а то при перезагрузке коммутатора, наши изменения собьются:
SW#write
SW#exit
Все, ваш коммутатор защищен от этой уязвимости, вы прекрасны!
Проверяем уязвим ли наш коммутатор:
SW#show vstack config
Role: Client (SmartInstall enabled)
У нас включена эта служба, смотрим открыт ли уязвимый порт 4786
SW>show tcp brief all
TCB Local Address Foreign Address (state)
0344B794 *.4786 *.* LISTEN
0350A018 *.443 *.* LISTEN
03293634 *.443 *.* LISTEN
03292D9C *.80 *.* LISTEN
03292504 *.80 *.* LISTEN
У нас порт открыт.
Самый простой способ борьбы - отключить функцию smart install т.к. она нужна для удаленной настройки коммутаторов и в ежедневной его работе не нужна.
Все довольно просто. Подключаемся к коммутатору и входим в режим конфигурации
SW#config
И вводим команду no vstack
SW(config)#no vstack
Выходим из режима конфигурации и проверяем:
SW(config)#exit
SW#show vstack config
Role: Client (SmartInstall disabled)
Не забываем сохранить конфигурацию, а то при перезагрузке коммутатора, наши изменения собьются:
SW#write
SW#exit
Все, ваш коммутатор защищен от этой уязвимости, вы прекрасны!
Комментариев нет:
Отправить комментарий