当前位置:首页 > 考证指南 > CCNA >

浅析思科路由器最新重大漏洞解决方案

更新时间:2023年02月10日   作者:spoto   标签(Tag):

思科知名度高,待遇也好,很多网工心生向往,也有很多人考过思科认证的相关证书,对思科的印象还是不错吧?

而且,作为美国著名的网络设备厂商,思科是全球路由器巨头,很多企业使用的关键路由器都离不开思科系列产品。

毕竟好用,还有知名度,用起来,工作高效便捷不说,客户也更有信任感,何乐而不为?

但是在上个月,思科官方发现旗下路由器产品出现严重技术漏洞,引发了不小的关注。

具体发生了啥,今儿和你说道说道。

 

一、思科又出漏洞? 这可不是第一次了

思科又出漏洞?

 

1月11日,思科发现其SMB(中小型企业)路由器中存在两个严重的漏洞(CVE-2023-20025和CVE-2023-20026),可导致未认证攻击者完全控制目标设备,以root权限运行命令。

但由于这些路由器生命周期已结束,思科表示不会发布新软件解决这些路由器上的漏洞。

思科RV系列中小企业路由器的所有软件版本,皆受到CVE-2023-20025、CVE-2023-20026两漏洞的影响。

CVE-2023-20025是RV系列路由器(RV016、RV042、RV042G和RV082)上网页管理界面的漏洞,可让未经身份验证的远程攻击者,绕过装置上的身份验证。

造成该漏洞的原因是系统未适当地对用户输入进行验证,攻击者可以通过网页管理界面,发送经过设计的HTTP请求利用该漏洞,以成功绕过身份验证获得底层操作系统的根访问权限。

另外CVE-2023-20026则是一个路由器远程命令执行漏洞,该漏洞同样发生在网页管理界面,可允许经过身份验证的远程攻击者,在受影响的装置上执行任意命令。

由于系统对传输http封包中的用户输入验证不当,因此可能允许攻击者获得根权限,并且访问未经授权的数据,但攻击者要利用该漏洞,需要先获得设备上有效的管理凭证。

思科在公告中指出:“因为已过产品生命周期,思科没有也不会发布解决此漏洞的软件更新。此漏洞没有解决方法。”

目前,管理员只能停用远程管理,并且封锁对接口口443和60443的访问来缓解漏洞,实行这些缓解措施后,管理员仍然可以透过LAN接口访问路由器。

相关研究人员指出,尽管这些路由器已经停产,但这些设备现有的安装基数仍然很大。

过时的设备仍在商业环境中长期使用的情况并不少见,而更换设备才是充分保护企业业务的最佳方案。

思科cisco

要知道,这不是第一次发生这种事情。

去年9月,思科RV系列路由器被发现存在零日安全漏洞,但思科明确拒绝修复漏洞,建议用户买最新的产品。

据报道,当时涉及安全问题的是思科面向中小企业推出的VPN路由器,涉及RV110W、RV130、RV130W 和 RV215W系列,出现的漏洞编号为CVE-2022-20923 (cisco-sa-sb-rv-vpnbypass-Cpheup9O),与密码验证算法错误有关,使得攻击者可以应用专门准备的凭据连接到VPN路由器。

根据思科所说,这个漏洞可以让攻击者绕过身份验证,并获得IPSec VPN访问权限,甚至可以达到网络管理员同样的权限,具体要取决于应用的凭据。

对思科来说,发现安全漏洞但明确不予修复的例子也不是一次两次了,这次涉及的RV系列路由器前年8月就被发现过漏洞,思科当时也是不打算修复,去年6月份又发现了另外的漏洞,思科的态度依然是不管,只建议用户升级到最新产品。

换新设备,才是解决漏洞的究极出路。当然,也有一些同行出了不同的声音:

“如果思科提前放弃软件支持,到 2025 年的硬件支持有什么意义?”

“举个例子,门锁很容易受到攻击,有人撬锁的话,门锁厂商都应该被罚款吗?”

“对于安全产品,我希望至少 15 年内得到全面支持。由于思科对安全问题的漠视,我认为是时候放弃他们的产品了,应该去支持那些不会让换新设备以解决问题的企业。”

“有些2016年就停售,2022年初就彻底停止支持了。你买哪个产品能管你一辈子啊?”

“我从事网络工作大约 20 年,还没有听说过任何供应商/产品在销售结束后能提供 15 年的支持,最多也就5年左右。”

 

二、思科路由器故障可咋整?

当然,虽然思科路由器的漏洞一直陆续出现,但并不是你路由器故障的主要原因。

这里分享三个思科路由器的故障的场景,以及对应场景下的处理思路,欢迎收藏转发给更多同行朋友们。

01 不堪重负,路由器外网口关闭

1. 网络环境

某单位使用的是Cisco路由器,租用电信30MB做本地接入和l0MB教育网双线路上网,两年来网络运行稳定,路由器也没有发生故障。

随着网络用户数量增加,原来电信30MB已不能满足需要,于是决定租用电信100MB来解决带宽问题。电信采用光纤接入到单位机房后,使用百兆光电转换器经转换后通过双绞线接到路由器外网口上面,该路由器使用是千兆电口作为外网口,由于光电转换器只有100MB,该端口连接后速度显示100MB。

 

2. 外网端口流量为零

经过几天的运行,管理员发现每天当路由器外网口流量超过50Mbps/s后,该端口就会出现“Receive Errors” ,流量超大,错误信息很多。

然后外网不能上了,Telnet到路由器上面,发现电信对应的外网口没有流量,显示状态为UP,路由器上其他端口工作正常。第一反映是电信的那边出现问题了,是电话通知电信那边查检一下,对方很快回应说没有什么问题,并询问是否光电转换器死机了。

于是管理员将光电转换器重启后,故障依然。没有办法,只好将路由器重启一下,故障排除。但是过了不到一个小时,故障又重现。

Telnet到路由器后将该外网口执行shutdown和undo shutdown后,故障排除。谁知,将所有有关病毒的安全策略应用到该端口,将tcp mss修改为2o48(厂商默认1460),故障依然出现。

 

3. 故障分析

管理员发现在故障发生时,CPU显示23%,Memory为33%,不算太高,关键是其他接口都正常工作,看样子问题还是出现在这个端口上面。可这个端口已用了两年了,升级扩容以前没有出现端口不能正常通讯的情况,端口硬件应该是有什么问题。

通过网管软件对端口关闭前的流量检测,发现该端口关闭前有很大的流量通过(超过80Mbps/s) ,显示端口的错误信息也比较多。通过分析得知应该是网络流量太大,利用率过高所致。

流量超过80%后,造成端口不能正常。如果该端口能工作千兆模式下,100MB带宽仅利用该端口10%,这样端口可以轻松处理。

 

4. 解决方案

在找到症结后,推荐的解决方案是购买千兆光电转换器代替原来的百兆设备,而且价格也比较便宜。但为了保证网络运行的稳定性,该单位决定直接购买一个千兆光口路由模块,直接利用光纤进行通讯,减少网络延时。

电信则通过端口限速来控制保证提供百兆带宽。通过一段时间运行,发现该端口除了有少量错误信息外,再没有出现过端口无故关闭情况。

 

02 路由器为何发包失败

在路由器的配置过程中,经常会碰到这样的问题:网络通信正常,路由器可以成功路由数据包到目标网络,但是从路由器发的数据包却传送失败,故障表现为路由器ping目标网络失败,下面就是一个典型的案例。

1. 现象描述

某单位的网络配置完成后,管理员在测试网络连通性时发现:从PC机(6.159.245.195) 向目标网络(6.159.245.65/26)发送Ping时,路由器R1可以成功转发数据包,然而从R1向目标网络(6.159.245.65/26) 发送ping时,出现ping失败。

2. 排错过程

首先,跟踪ping所经过的路径。检查R1的路由表,目标地址6.159.245.65可以与路由表中0.0.0.0/0相匹配。检查R2、R3、R4的路由表,均可以发现与目标地址匹配的路由表项。

然后,跟踪ICMP回应应答数据包所经过的路径。为完成这一步骤,要明确回应数据包的源地址,PC发送ping时,回应应答数据包的目标地址就是6.159.245.195。而路由器R1发送ping时,回应应答数据包的目标地址就是71.170.0.146。

对照R4的路由表,发现与 6.159.245.195匹配的路由表项,而未发现与目标地址71.170.0.146相匹配的路由表项。

看来,ICMP的回应应答数据包在R4处理时被丢弃了,所以从R1向目标网络R4(6.159.245.65/26) 发送ping时,出现pmg失败。

3. 解决办法

在路由器R4上增加一条指向71.170.0.144/30的静态路由,下一跳的地址为71.170.0.214。完成后,在R1向R4发送ping时,发现一切正常了。

此类网络故障尽管不会影响网络的正常通信,排除的过程也很简单,但网络故障的分析与排除时,我们要考虑完整的通信过程。

 

03 艰难的Cisco路由器IOS升级之旅

某学校从2003年开始建设校园网,近年来上网人数不断增加,使原来的Cisco 2621已经远远不能满足网络的需求。而且最近要上0A办公系统,需要增加一台VPN设备,用于校外用户对校内0A系统的访问。

出于经济上的考虑,他们想通过升级闲置的Cisco 2621路由器来做VPN。不过,在升级IOS的过程中遇到一些问题。

1. 超级终端登录出现乱码

从机房的仓库里拿出路由器,通电。通过Console口连上去,发现超级屏幕出现了一些乱码。会不会是Consol口坏了?

分析认为Cisco设备如果出现Console口坏了,一般会在超级终端屏幕上不断输出很多的乱码。但是这回出现的却是输入回车键后,才在屏幕上出现乱码,可能是每秒传输速率不对。

管理员将默认值9600更换为l15200。路由器启动成功。路由器启动完后,用show run确实发现Console的速率为l15200。

2. 内存不够升级失败

要升级的这台Cisco2621路由器带有VPN的功能。原来的IOS版本为C2600-i-mz.122-8.T4.bin。从网上得知 Cisco 2621只有K8、K9系列的IOS才能支持VPN。

于是管理员从网上下载新的IOS c2600-ik9o3s3-mz.123-22.bin,大小为15MB。

升级过程如下:

(1)配置路由器Interfast 0/0的IP地址,先用“copy flash:tftp”把原来的IOS备份出来,并通过“copy tftpd flash” 命令上传。

(2)重新启动路由器,发现如下的提示错误,大意是没有足够的内存运行IOS:

Error:memory requirements exceed available memory Memory required:0x0284A0BC

Cisco官方网上查询,发现c2600-ik9o3s3-mz.123-22.bin这个10s镜像要求路由器的内存为 64MB,Flash为16MB。从上面的启动信息可以看出,这台路由器的内存为32MB,当然启动不起来了。

后来在网上购买了一条l28MB的内存换上去,加大内存后,启动路由器成功。

3. 在ROM模式下通过TFTP上传IOS效验失败

由于路由器IOS升级失败,所以想恢复原来的IOS。Cisco IOS升级失败后,恢复IOS的方式有两种:FTP和Xmodem。TFTP的传输速度快一些,Xmodem的传输速度比较慢。

R0M模式下,用TFTP上传IOS,过程如下:

(1)在interfast 0/0配置IP地址,配置完后用set命令查看。默认情况下,在R0M模式下配置的IP地址是在interfast 0/0下的,所配置的IP地址应该要与TFTP服务器在同一个网段内。

(2)用tftpdnld方式下载,TFTP ServerMg开始时用Cisco的TFTP,但传输一半就超时。

3Cdaemon传输完后,发现如下的警告:

TFTP flash C0PY:Warning,ChecksSum comparison failed.
重启路由器,路由器无法启动,提示IOS效验错误。

原想可能是IOS下载时出现错误,但是重新下载了c2600-ipbase-mz.123-6c.bin还是不行,看来不是IOS的问题。后来更换了网线TFTP软件还是不行。

4. 解决办法

Xmodem来传。为了使传输速度快点,我们应该修改Xmodem的传输速度为ll5200。IOS通过Xmodem传输完后,重启路由器,路由器已经可启动。

(1)在用TFTP上传IOS时,如果提示效验错误,就应该考虑采用Xmodem方式上传。

(2)TFTP服务器的IP的地址要和路由器的以太网口在一个网段上。

(3)在用Xmodem上传IOS时,最好采用Windows自带的超级终端。

(4)TFTP (Trivial File Transfer Protoco1)文件传输协议最大就支持传输32MB的文件。如果IOS大于32MB时,可以考虑采用第三方的TFTP软件,如3Cdaemon。

 

参考资料 
[1]《思科路由器发现严重安全漏洞,但表示不会修复》,SDNLABhttps://mp.weixin.qq.com/s/IHGeOYw5eSHClX5uM0wzgw

[2]《路由器出现安全漏洞,思科拒绝修复:你们买新的吧》https://mp.weixin.qq.com/s/lR9saKvBrp1h6VJ620eTgQ

[3]《Cisco路由器故障怎么办?》https://mp.weixin.qq.com/s/0J-WOuHq1a-YlF4TGLo2ww

 

小编送福利时间,CCNA、CCNP、CCIE课程免费试听名额~~立即抢占:

              马上抢免费试听资格
意向课程: *必选
姓名: *必填
联系方式: *必填
QQ:
思博SPOTO在线咨询

相关推荐
猜你喜欢
合作招聘

7天无条件退款
24小时实验室开放
全程跟踪服务
无条件免费重读

即刻预约

免费试听-咨询课程-获取免费资料

思博网络SPOTO新活动