视频1 视频21 视频41 视频61 视频文章1 视频文章21 视频文章41 视频文章61 推荐1 推荐3 推荐5 推荐7 推荐9 推荐11 推荐13 推荐15 推荐17 推荐19 推荐21 推荐23 推荐25 推荐27 推荐29 推荐31 推荐33 推荐35 推荐37 推荐39 推荐41 推荐43 推荐45 推荐47 推荐49 关键词1 关键词101 关键词201 关键词301 关键词401 关键词501 关键词601 关键词701 关键词801 关键词901 关键词1001 关键词1101 关键词1201 关键词1301 关键词1401 关键词1501 关键词1601 关键词1701 关键词1801 关键词1901 视频扩展1 视频扩展6 视频扩展11 视频扩展16 文章1 文章201 文章401 文章601 文章801 文章1001 资讯1 资讯501 资讯1001 资讯1501 标签1 标签501 标签1001 关键词1 关键词501 关键词1001 关键词1501 专题2001
CiscouBR10012路由器默认SNMP团体字符串漏洞
2020-11-09 08:22:51 责编:小采
文档
点击下载本文 文档为doc格式

发布日期:2008-09-24 更新日期:2008-09-26 受影响系统: Cisco IOS 12.3 Cisco IOS 12.2 Cisco uBR10012 描述: -------------------------------------------------------------------------------- BUGTRAQ ID: 31355 CVE(CAN) ID: CVE-2008-3807 Cisco

发布日期:2008-09-24
更新日期:2008-09-26

受影响系统:
Cisco IOS 12.3
Cisco IOS 12.2
Cisco uBR10012
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 31355
CVE(CAN) ID: CVE-2008-3807

Cisco uBR10012是一款大型的高端宽带路由器。

如果配置了线卡冗余的话,Cisco uBR10012系列设备需要与RF交换机通讯,这种通讯是基于SNMP的。如果Cisco uBR10012系列设备上启用了线卡冗余,还会以拥有读写权限的默认团体字符串private自动启用SNMP。由于对这个团体字符串没有访问,攻击者可以利用这个团体字符串完全控制设备。

<*来源:Cisco安全公告

链接:http://secunia.com/advisories/31990/
http://www.cisco.com/warp/public/707/cisco-sa-20080924-ubr.shtml
*>

建议:
--------------------------------------------------------------------------------
临时解决方法:

* 更改SNMP团体字符串并访问。

以下配置示例为操作人员提供有关更改团体字符串并使用ACL添加SNMP访问控制的信息。

access-list 90 permit host
access-list 90 permit host
access-list 90 permit host
access-list 90 deny any

redundancy
linecard-group 1 cable
rf-switch snmp-community

snmp-server community rw 90

在Cisco uBR10012设备上更改SNMP团体时,还必须在RF交换机上通过以下命令更改:

set SNMP COMMUNITY

如果Cisco IOS版本不支持更改团体字符串,可对默认的团体字符串应用访问控制。以下配置示例为操作人员提供有关对默认团体字符串应用访问控制的信息。

access-list 90 permit host
access-list 90 permit host
access-list 90 permit host
access-list 90 deny any

snmp-server community private rw 90

* 在网络边界使用基础架构ACL(iACL)

!-- Permit SNMP (UDP port 161) packets from trusted hosts
!-- destined to infrastructure addresses.

!
access-list 150 permit udp TRUSTED_HOSTS MASK INFRASTRUCTURE_ADDRESSES MASK eq 161
!

!-- Deny SNMP (UDP port 161) packets from all other sources
!-- destined to infrastructure addresses.

!
access-list 150 deny udp any INFRASTRUCTURE_ADDRESSES MASK eq 161
!

!-- Permit/deny all other Layer 3 and Layer 4 traffic in
!-- accordance with existing security policies and
!-- configurations.

!

!-- Permit all other traffic to transit the device.

!
access-list 150 permit ip any any
!

!-- Apply iACL to interfaces in the ingress direction.

!
interface GigabitEthernet0/0
ip access-group 150 in
!

厂商补丁:

Cisco
-----
Cisco已经为此发布了一个安全公告(cisco-sa-20080924-ubr)以及相应补丁:
cisco-sa-20080924-ubr:Cisco uBR10012 Series Devices SNMP Vulnerability
链接:http://www.cisco.com/warp/public/707/cisco-sa-20080924-ubr.shtml

下载本文
显示全文
专题
懂视 51dongshi.net 版权所有
Copyright © 2019-2025