Уязвимость функции отслеживания DHCP-сообщений операционной системы Cisco IOS XE коммутаторов серии Catalyst 9000 связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем отправки специально сформированных BOOTP-пакетов
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- настройка агента ретрансляции DHCP на игнорирование BOOTP-пакетов путем выполнения следующей команды: ip dhcp relay bootp ignore;
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к программному обеспечению;
- ограничение доступа к программному обеспечению, используя схему доступа по «белым спискам»;
- использование SIEM-систем для отслеживания событий, связанных с обработкой BOOTP-пакетов;
- ограничение доступа из внешних сетей (Интернет).
Использование рекомендаций:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-bootp-WuBhNBxA
| Балл | 7.8 — высокая опасность |