发布日期：2008-09-24
更新日期：2008-09-26

受影响系统：

Cisco IOS 12.3
Cisco IOS 12.2
Cisco uBR10012

描述：

---

BUGTRAQ  ID: 31355
CVE(CAN) ID: CVE-2008-3807

Cisco uBR10012是一款大型的高端宽带路由器。

如果配置了线卡冗余的话，Cisco uBR10012系列设备需要与RF交换机通讯，这种通讯是基于SNMP的。如果Cisco uBR10012系列设备上启用了线卡冗余，还会以拥有读写权限的默认团体字符串private自动启用SNMP。由于对这个团体字符串没有访问限制，攻击者可以利用这个团体字符串完全控制设备。

<*来源：Cisco安全公告
  
  链接：http://secunia.com/advisories/31990/
        http://www.cisco.com/warp/public/707/cisco-sa-20080924-ubr.shtml
*>

建议：

---

临时解决方法：

* 更改SNMP团体字符串并限制访问。
  
以下配置示例为操作人员提供有关更改团体字符串并使用ACL添加SNMP访问控制限制的信息。

    access-list 90 permit host <RF-Switch-IP-1>
    access-list 90 permit host <RF-Switch-IP-2>
    access-list 90 permit host <up-converter-IP-if-exists>
    access-list 90 deny any

    redundancy
      linecard-group 1 cable
        rf-switch snmp-community <RF-Switch-SNMP-community>

    snmp-server community <RF-Switch-SNMP-community> rw 90

在Cisco uBR10012设备上更改SNMP团体时，还必须在RF交换机上通过以下命令更改：

    set SNMP COMMUNITY <RF-Switch-SNMP-community>

如果Cisco IOS版本不支持更改团体字符串，可对默认的团体字符串应用访问控制限制。以下配置示例为操作人员提供有关对默认团体字符串应用访问控制限制的信息。

    access-list 90 permit host <RF-Switch-IP-1>
    access-list 90 permit host <RF-Switch-IP-2>
    access-list 90 permit host <up-converter-IP-if-exists>
    access-list 90 deny any

    snmp-server community private rw 90

* 在网络边界使用基础架构ACL（iACL）
  
    !-- Permit SNMP (UDP port 161) packets from trusted hosts
    !-- destined to infrastructure addresses.

    !
    access-list 150 permit udp TRUSTED_HOSTS MASK INFRASTRUCTURE_ADDRESSES MASK eq 161
    !

    !-- Deny SNMP (UDP port 161) packets from all other sources
    !-- destined to infrastructure addresses.

    !
    access-list 150 deny udp any INFRASTRUCTURE_ADDRESSES MASK eq 161
    !

    !-- Permit/deny all other Layer 3 and Layer 4 traffic in
    !-- accordance with existing security policies and
    !-- configurations.

    !

    !-- Permit all other traffic to transit the device.

    !
    access-list 150 permit ip any any
    !

    !-- Apply iACL to interfaces in the ingress direction.

    !
    interface GigabitEthernet0/0
      ip access-group 150 in
    !

厂商补丁：

Cisco
-----
Cisco已经为此发布了一个安全公告（cisco-sa-20080924-ubr）以及相应补丁:
cisco-sa-20080924-ubr：Cisco uBR10012 Series Devices SNMP Vulnerability
链接：http://www.cisco.com/warp/public/707/cisco-sa-20080924-ubr.shtml

浏览次数：2781
严重程度：0（网友投票）