发布日期：2010-07-07
更新日期：2010-07-08

受影响系统：

Cisco IOS 12.2(52)SE1
Cisco IOS 12.2(52)SE
Cisco Industrial Ethernet 3000

不受影响系统：

Cisco IOS 12.2(55)SE

描述：

---

BUGTRAQ  ID: 41436
CVE(CAN) ID: CVE-2010-1574

Cisco Industrial Ethernet 3000系列是交换机产品家族，可为严酷环境提供强健的且简单易用的安全基础架构。

运行Cisco IOS Software 12.2(52)SE或12.2(52)SE1版本的Cisco Industrial Ethernet 3000系列交换机中存在硬编码的SNMP团体名：

    snmp-server community public RO
    snmp-server community private RW

远程用户可以利用上述凭据登录获得对设备的完全控制。

<*来源：Cisco
  
  链接：http://secunia.com/advisories/40407/
        http://www.cisco.com/warp/public/707/cisco-sa-20100707-snmp.shtml
*>

建议：

---

临时解决方法：

* 手动删除SNMP团体名
+-----------------------------------
  
   登录到设备，然后进入配置模式。输入以下配置命令：

    no snmp-server community public RO
    no snmp-server community private RW

   保存配置会升级开机启动的配置文件，但在设备重载时会重新将硬编码的团体名注入到运行的配置中。每次重载设备都必须重新应用这个临时解决方案。

* 自动删除SNMP团体名
+----------------------------------------

    event manager applet cisco-sa-20100707-snmp
     event timer countdown time 30
     action 10 cli command "enable"
     action 20 cli command "configure terminal"
     action 30 cli command "no snmp-server community public RO"
     action 40 cli command "no snmp-server community private RW"
     action 50 cli command "end"
     action 60 cli command "disable"
     action 70 syslog msg "Hard-coded SNMP community names as per Cisco Security Advisory cisco-sa-20100707-snmp removed"


* 应用以下基础架构ACL（iACL）
- - -------

    !---
    !--- Deny SNMP traffic from all other sources destined to
    !--- configured IP addresses on the IE3000.
    !---
    
    
    access-list 150 deny udp any host 192.168.0.1 eq snmp
    access-list 150 deny udp any host 192.168.1.1 eq snmp
    
    
    !---
    !--- Permit/deny all other Layer 3 and Layer 4 traffic in
    !--- accordance with existing security policies and configurations
    !--- Permit all other traffic to transit the device.
    !---
    
    
    access-list 150 permit ip any any
    
    
    !---
    !--- Apply access-list to all Layer 3 interfaces
    !--- (only two examples shown)
    !---
    
    
    interface Vlan1
     ip address 192.168.0.1 255.255.255.0
     ip access-group 150 in
    
    interface GigabitEthernet1/1
     ip address 192.168.1.1 255.255.255.0
     ip access-group 150 in

厂商补丁：

Cisco
-----
Cisco已经为此发布了一个安全公告（cisco-sa-20100707-snmp）以及相应补丁:
cisco-sa-20100707-snmp：Hard-Coded SNMP Community Names in Cisco Industrial Ethernet 3000 Series Switches Vulnerability
链接：http://www.cisco.com/warp/public/707/cisco-sa-20100707-snmp.shtml

浏览次数：2891
严重程度：0（网友投票）