发布日期：2006-09-20
更新日期：2006-09-21

受影响系统：

Cisco IOS 12.4
Cisco IOS 12.3
Cisco IOS 12.2

描述：

---

BUGTRAQ  ID: 20125

Cisco IOS是Cisco设备所使用的操作系统。

Cisco IOS软件的某些版本中存在访问验证漏洞，远程攻击者可能利用此漏洞非授权获取对设备的访问。

如果设备上启用了SNMP的话，则有漏洞的版本就可能包含有硬编码的SNMP团体字符串cable-docsis。默认的团体字符串是由于无意中将这些设备识别为所支持的符合有线电缆数据服务接口规范（DOCSIS）的接口而导致的。如果设备配置了SNMP管理的话，就可能启用额外的读写团体字符串，允许经验丰富的攻击者获得对设备的特权访问。

<*来源：Cisco安全公告
  
  链接：http://www.cisco.com/warp/public/707/cisco-sa-20060920-docsis.shtml
*>

建议：

---

临时解决方法：

* 禁用SNMP服务器

如果在设备上SNMP服务器不是必须的话，则最好在配置模式中通过以下命令将其禁用：

    no snmp-server

* 通过Community-map限制访问

请考虑以下示例：

    Router(config)#access-list 65 remark Deny access to community string
    Router(config)#access-list 65 deny   any
    Router(config)#snmp-server community no-access RO 65
    Router(config)#snmp mib community-map  cable-docsis security-name no-access

* 控制面整型

请考虑以下示例：

    access-list 111 deny udp host 10.1.1.1 host 192.168.10.1 eq snmp
    access-list 111 permit udp any any eq snmp
    access-list 111 deny ip any any
    !
    class-map match-all drop-snmp-class
     match access-group 111
    !
    !
    policy-map drop-snmp-policy
     class drop-snmp-class
       drop
    !
    control-plane
     service-policy input drop-snmp-policy

* 访问控制列表(ACL)

可向网络应用以下扩展访问列表。这个示例假设路由器在其端口上配置了IP地址192.168.10.1和172.16.1.1，所有的SNMP访问都限制到了IP地址为10.1.1.1的管理站，管理站仅需要同IP地址192.168.10.1通讯：

    access-list 101 permit udp host 10.1.1.1 host 192.168.10.1 eq snmp
    access-list 101 deny udp any host 192.168.10.1 eq snmp
    access-list 101 deny udp any host 172.16.1.1 eq snmp
    access-list 101 permit ip any any

然后必须使用以下配置命令将访问列表应用到所有的接口：

    interface FastEthernet 0/0
    ip access-group 101 in

厂商补丁：

Cisco
-----
Cisco已经为此发布了一个安全公告（cisco-sa-20060920-docsis）以及相应补丁:
cisco-sa-20060920-docsis：DOCSIS Read-Write Community String Enabled in Non-DOCSIS Platforms
链接：http://www.cisco.com/warp/public/707/cisco-sa-20060920-docsis.shtml

浏览次数：4723
严重程度：0（网友投票）