03.05.2018
Центр защиты информации

ОБНОВЛЕНИЕ СИГНАТУР СОВ DALLAS LOCK

При разработке и создании нового набора сигнатур Системы обнаружения и предотвращения вторжений (СОВ) Dallas Lock были добавлены сигнатуры, защищающие от следующих новых уязвимостей (подробнее о каждой из уязвимостей можно прочесть на сайте https://cve.mitre.org/):

·         CVE-2018-0891;

·         CVE-2017-5375;

·         CVE-2018-7583;

·         CVE-2018-7264;

·         CVE-2018-7658;

·         CVE-2018-7582;

·         CVE-2018-6947;

·         CVE-2018-6389;

·         CVE-2018-1297;

·         CVE-2018-0840.

Все вышеуказанные и многие другие уязвимости были устранены с помощью сигнатур системы обнаружения и предотвращения вторжений Dallas Lock.

Также специалисты ООО «Конфидент» обратили внимание на уязвимость в функции Smart Install программного обеспечения Cisco IOS и программного обеспечения Cisco IOS XE, получившую идентификатор CVE-2018-0171.

Уязвимость CVE-2018-0171 вызвана неправильной проверкой пакетных данных. Злоумышленник может воспользоваться этой уязвимостью, отправив обработанное сообщение Smart Install на поврежденное устройство через открытый TCP-порт 4786. Успешный эксплоит позволяет злоумышленнику удаленно выполнять произвольный код без проверки подлинности. Таким образом, он может получить полный контроль над уязвимым сетевым оборудованием. 

Затронутое оборудование/программное обеспечение:

·      Catalyst 4500 Supervisor Engines;

·      Catalyst 4500 Supervisor Engines;

·      Cisco Catalyst 2960 Series Switches.

Потенциально уязвимы:

·      Catalyst 4500 Supervisor Engines;

·      Catalyst 3850 Series;

·      Catalyst 3750 Series;

·      Catalyst 3650 Series;

·      Catalyst 3560 Series;

·      Catalyst 2960 Series;

·      Catalyst 2975 Series;

·      IE 2000;

·      IE 3000;

·      IE 3010;

·      IE 4000;

·      IE 4010;

·      IE 5000;

·      SM-ES2 SKUs;

·      SM-ES3 SKUs;

·      NME-16ES-1G-P;

·      SM-X-ES3 SKUs.

Атака с использованием описанной уязвимости производится не на пользовательское рабочее место, а на сетевое оборудование. Так как в настоящий момент мы разрабатываем сигнатуры только для СОВ уровня узла, то не предоставляем сигнатуру для данной уязвимости, но предлагаем воспользоваться рекомендациями по безопасности.

Рекомендации по безопасности:

1.      Компания Cisco уже выпустила официальные обновления. Если вы используете уязвимое ПО, необходимо загрузить обновление на странице:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2

2.      Отключите Smart Install Client. Если же он необходим, можно установить Access Control List на доступ к TCP порту 4786.

Подробную информацию по всему набору сигнатур вы можете получить по идентификационному номеру уязвимости, который находится во вкладке:

СОВ ⇒ Сигнатуры ⇒ Сигнатуры трафика ⇒ Информация об уязвимости