Cisco informuje o podatnościach Autonomic Networking w IOS i IOS XE

Firma Cisco poinformowała o wykrytych podatnościach funkcji Autonomic Networking w systemach Cisco IOS i IOS XE. Podatność CVE-2017-6663 umożliwia nieuwierzytelnionemu użytkownikowi atak DoS. Podatność CVE-2017-6665 umożliwia przechwycenie pakietów ACP, a w efekcie uzyskanie danych w sposób nieuprawniony. Wykorzystanie obu podatności odbywa się w analogiczny sposób: przez przechwycenie poprawnych pakietów i wysłanie odpowiednio spreparowanych ich kopii.

Podatne są wszystkie urządzenia działające pod kontrolą Cisco IOS i IOS XE, na których została skonfigurowana funkcja Autonomic Networking.

Aktualnie nie zostały wydane poprawki likwidujące tą podatność. Firma Cisco opublikowała instrukcje, jak zminimalizować ryzyko wykorzystania podatności.

CERT PSE zaleca zapoznanie się z informacjami na stronie producenta:

Cisco IOS and IOS XE Software Autonomic Networking Infrastructure Denial of Service Vulnerability

Cisco IOS and IOS XE Software Autonomic Control Plane Channel Information Disclosure Vulnerability