Cisco uBR10012路由器默认SNMP团体字符串漏洞

发布日期：2008-09-24 更新日期：2008-09-26 受影响系统： Cisco IOS 12.3 Cisco IOS 12.2 Cisco uBR10012 描述： -------------------------------------------------------------------------------- BUGTRAQ ID: 31355 CVE(CAN) ID: CVE-2008-3807 Cisco

发布日期：2008-09-24
更新日期：2008-09-26

受影响系统：
Cisco IOS 12.3
Cisco IOS 12.2
Cisco uBR10012
描述：
--------------------------------------------------------------------------------
BUGTRAQ  ID: 31355
CVE(CAN) ID: CVE-2008-3807

Cisco uBR10012是一款大型的高端宽带路由器。

如果配置了线卡冗余的话，Cisco uBR10012系列设备需要与RF交换机通讯，这种通讯是基于SNMP的。如果Cisco uBR10012系列设备上启用了线卡冗余，还会以拥有读写权限的默认团体字符串private自动启用SNMP。由于对这个团体字符串没有访问限制，攻击者可以利用这个团体字符串完全控制设备。

 
  链接：http://secunia.com/advisories/31990/
        http://www.cisco.com/warp/public/707/cisco-sa-20080924-ubr.shtml
*>

建议：
--------------------------------------------------------------------------------
临时解决方法：

* 更改SNMP团体字符串并限制访问。
   
以下配置示例为操作人员提供有关更改团体字符串并使用ACL添加SNMP访问控制限制的信息。

    access-list 90 permit host
    access-list 90 permit host
    access-list 90 permit host
    access-list 90 deny any

    redundancy
      linecard-group 1 cable
        rf-switch snmp-community

    snmp-server community rw 90

在Cisco uBR10012设备上更改SNMP团体时，还必须在RF交换机上通过以下命令更改：

    set SNMP COMMUNITY

如果Cisco IOS版本不支持更改团体字符串，可对默认的团体字符串应用访问控制限制。以下配置示例为操作人员提供有关对默认团体字符串应用访问控制限制的信息。

    access-list 90 permit host
    access-list 90 permit host
    access-list 90 permit host
    access-list 90 deny any

    snmp-server community private rw 90

* 在网络边界使用基础架构ACL（iACL）
 
    !-- Permit SNMP (UDP port 161) packets from trusted hosts
    !-- destined to infrastructure addresses.

    !
    access-list 150 permit udp TRUSTED_HOSTS MASK INFRASTRUCTURE_ADDRESSES MASK eq 161
    !

    !-- Deny SNMP (UDP port 161) packets from all other sources
    !-- destined to infrastructure addresses.

    !
    access-list 150 deny udp any INFRASTRUCTURE_ADDRESSES MASK eq 161
    !

    !-- Permit/deny all other Layer 3 and Layer 4 traffic in
    !-- accordance with existing security policies and
    !-- configurations.

    !

    !-- Permit all other traffic to transit the device.

    !
    access-list 150 permit ip any any
    !

    !-- Apply iACL to interfaces in the ingress direction.

    !
    interface GigabitEthernet0/0
      ip access-group 150 in
    !

厂商补丁：

Cisco
-----
Cisco已经为此发布了一个安全公告（cisco-sa-20080924-ubr）以及相应补丁:
cisco-sa-20080924-ubr：Cisco uBR10012 Series Devices SNMP Vulnerability
链接：http://www.cisco.com/warp/public/707/cisco-sa-20080924-ubr.shtml