Уязвимость функции аутентификации, авторизации и учета (Authentication, Authorization and Accounting - AAA) и функции сервера SCP операционных систем Cisco IOS и Cisco IOS XE связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности и получить или изменить конфигурацию уязвимого устройства
Использование рекомендаций:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-aaascp-Tyj4fEJm
Компенсирующие меры:
1. Включите проверку авторизации команд с уровнем привилегий 0;
2. Чтобы заставить сервер AAA проверять команды сервера SCP, используйте команду конфигурации: aaa authorization commands 0 и настройте соответствующую политику команд, чтобы запретить пользователю использовать команды сервера SCP;
3. Чтобы разрешить или запретить загрузку или выгрузку файлов через SCP, добавьте фильтры в конфигурацию AAA для команд scp -f и scp -t .
Или:
1. Отключите функциональность SCP-сервера с помощью команды конфигурации: no ip scp server Enable с целью запрета на копирование изображений или конфигураций на маршрутизатор или с него.
| Балл | 7.1 — высокая опасность |