Cisco IOS/IOS XE 新漏洞检测与修复
CVE-2018-0150 Cisco IOS XE 存在默认弱口令
漏洞影响:
默认弱口令可以导致攻击者直远程登录控制Cisco设备。受影响版本,Cisco IOS XE 16.x
修复方案:
router# no username cisco
switcher# no username cisco
或者删除cisco账户也可以
CVE-2018-0151 Cisco IOS/IOS XE QoS存在漏洞
漏洞影响:
UDP端口18999开启时,可能被经过精心构造的恶意数据攻击,导致任意代码执行或DoS
漏洞检测:
Router> show udp
Proto Remote Port Local Port In Out Stat TTY OutputIF
17 0.0.0.0 0 --any-- 18999 0 0 11 0
修复方案:
不是用DMVPN功能的QoS用户可以做类似如下配置
! -- ACL for CoPP Undesirable UDP class-map
access-list 199 permit udp any any eq 18999
! -- CoPP Undesirable UDP class-map
class-map match-all undesirable-udp
match access-group 199
! -- Undesirable UDP Policy Map
policy-map drop-udp
class undesirable-udp
drop
! -- Apply Undesirable UDP policy Map
control-plane
service-policy input drop-udp
使用该功能的请升级最新版本
CVE-2018-0171 IOS/IOS XE smart-Install 远程代码执行漏洞
漏洞简介:
smart Install 组件存在问题导致远程代码执行漏洞
漏洞检测:
检测:交换机上查看
switch1# show vstack config
Role: Client (SmartInstall enabled)
switch2# show vstack config
Capability: Client
Oper Mode: Enabled
Role: Client
漏洞修复:
关闭智能功能安装no vstack