Инструкция по безопасности Cisco.
Уязвимость web-интерфейса точек доступа.

    В Web-интерфейсе для управления точками доступа компании Cisco обнаружена уязвимость, с помощью которой, при определенных условиях, можно удалять заводские настройки безопасности на управляемой точке доступа и предоставлять административный доступ к устройству без подтверждения уровня доступа.

    Компания Cisco выпустила бесплатное ПО для пользователей, затронутых данной уязвимостью. Данное временное решение призвано снизить риск от этой уязвимости.

Инструкция

Перечень устройств, подверженных данной уязвимости

    Уязвимости web-интерфейса подвержены следующие точки доступа, при условии, что на них установлено ПО Cisco IOS® 12.3(8)JA или 12.3(8)JA1 и включена поддержка управления при помощи web-интерфейса (по умолчанию):

• 350 Wireless Access Point и Wireless Bridge
• 1100 Wireless Access Point
• 1130 Wireless Access Point
• 1200 Wireless Access Point
• 1240 Wireless Access Point
• 1310 Wireless Bridge
• 1410 Wireless Access Point

    Для того, чтобы проверь, включена ли поддержка управления точкой доступа Cisco при помощи web-интерфейса, необходимо зайти на устройство и посмотреть вывод команды show ip http server status. Если в выводе команды напротив строчек http server status или http secure server status присутствует запись enabled, то на устройстве включена поддержка управлении при помощи web-интерфейса. В приведенном ниже примере показана точка доступа с включенной поддержкой управления при помощи web-интерфейса:

ap#show ip http server status
     HTTP server status: Enabled
     HTTP server port: 80
[…lines removed…]
     HHTP secure server staus: Disabled
     HTTP secure server port: 443
[…lines removed…]

    Поддержка управления точкой доступа при помощи web-интерфейса включена по умолчанию.

    Для проверки версии ПО, установленной на точке доступа, необходимо:

• При помощи web-браузера: - Выбрать пункт меню System Software. Версия ПО Cisco IOS будет отражена в строке System Software Version.
• При помощи командной строки (CLI): - Для определения версии ПО, установленной на точке доступа, необходимо зайти на устройство и посмотреть вывод команды show version.

    ПО Cisco IOS расшифровывается как «Internetwork Operating System Software».

    Название ПО будет выведено в скобках, далее последует его версия. Другие устройства от Cisco не поддерживают команду show version или могут выводить информацию, отличную от приведенной тут.

    В приведенном ниже примере показана точка доступа с версией ПО Cisco IOS 12.3(7)JA1 и названием ПО C1200-K9W7-M:

ap#show version
Cisco IOS Software, C1200 Software (C1200-K9W7-M), 
Version 12.3(7)JA1, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2005 by Cisco Systems, Inc.
Compiled Thu 06-Oct-05 09:40 by evmiller
!
[...lines removed...]
!

Перечень устройств, не подверженных данной уязвимости:

• Точки доступа, на которых не установлено ПО Cisco IOS.
• Точки доступа, на которых установлена отличная от 12.3(8)JA или 12.3(8)JA1 версия ПО Cisco IOS.
• Точки доступа с отключенной поддержкой управления при помощи web-интерфейса (как HTTP, так и HTTPs).
• Все точки доступа, работающие в режиме Lightweight.

Описание уязвимости

    Web-интерфейс содержит пункты меню, которые используются для управления беспроводными параметрами устройства, обновления ПО, отслеживания и управления другими беспроводными устройствами в сети. Поддержка управления при помощи web-интерфейса включена по умолчанию, и ее можно отследить при помощи команд ip http server или ip http secure server.

    Точка доступа с заводскими настройками использует заводской секретный пароль для административного доступа. Его можно изменить при помощи web-интерфейса, проследовав по пунктам меню Security > Admin Access . Default Authentication (Global Password) или при помощи командной строки (CLI), введя enable secret [new_secret].

    Пароль Local User List Only (Individual Password) позволяет администраторам задавать локальную уникальную базу логинов/паролей администраторов точек доступа. Таким образом, что общий глобальный пароль не афишируется.

    Уязвимость web-интерфейса точки доступа проявляется, когда Security > Admin Access изменяется со значения Default Authentication (Global Password) на значение Local User List Only (Individual Passwords). В результате чего точка доступа начинает работать в беспарольном режиме, при этом неважно, включен ли глобальный или индивидуальный пароль. Что обеспечивает доступ к конфигурации точки доступа через web-интерфейс или при помощи командной строки (CLI) без подтверждения уровня доступа.

    Точки доступа с изначально установленным Local User List Only (Individual Passwords), и на которых инсталирована версия ПО Cisco IOS без описанной выше уязвимости, при последующем обновлении ПО до версии с уязвимостью также не будут подвержены действию данной уязвимости, аналогично тому, как не изменяется конфигурация после перепрошивки.

Последствия

    Успешное использование данной уязвимости может привести к предоставлению неавторизированного административного доступа к точке доступа при помощи web-интерфейса или при помощи командной строки (CLI)

Версия ПО и исправления

    В любом случае, пользователи должны соблюдать осторожность и убедиться, что устройство, которое необходимо обновить, содержит достаточно памяти, и текущая аппаратная часть и конфигурация будут поддерживаться надлежащим образом в новой версии ПО. Если данные по этому вопросу не ясны, свяжитесь с TAC (Cisco Technical AssistanceCenter)- центром технической помощи компании Cisco или авторизованным дилером.

    Каждая строка в таблице ПО Cisco IOS описывает версию ПО и платформу или продукт, для которого она предназначена. Если данная версия ПО имеет уязвимость, то самая ранняя версия с исправлениями и ожидаемая дата выхода исправленной версии ПО приведены в колонках Модернизированная и Исправленная. Устройства с версиями ПО, аналогичными версиям в первой колонке, подвержены действию описанной выше уязвимости. Обновление ПО должно производиться до самой поздней версии.

    Более полная информация по терминам модернизированный (Rebuild) и исправленный (Maintenance) доступна на сайте производителя.

Рабочее решение проблемы уязвимости.

    Любое из предложенных ниже решений может быть принято во внимание, чтобы снизить опасность использования описанной выше уязвимости:

• Отключение поддержки управления устройством при помощи web-интерфейса.
  Для отключения поддержки web-интерфейса необходимо:
  • При помощи web-интерфейса - выбрать пункт Disable Web Based Management в меню Services > HTTP-Web Server и нажать кнопку Apply.
  • При помощи командной строки (CLI) зайти на устройство и ввести приведенные ниже команды; перед выходом необходимо сохранить конфигурацию:

    ap(config) #no ip http server
    ap (config) #no ip http secure-server
    ap (config) #exit

• Настройка при помощи командной строки (CLI).

  Применение локального пароля Local User List Only (Individual Passwords) предпочтительнее производить с помощью командной строки, нежели с помощью web-интерфейса. Данная процедура позволит получить желаемый уровень безопасности точки доступа. Необходимо зайти на устройство и ввести следующие команды, перед выходом необходимо сохранить конфигурацию:

  ap#configure terminal
  ap(config)#username test privilege 15 password test
  ap(config)#aaa new-model
  ap(config)#aaa authentication login default local
  ap(config)#aaa authorization exec default local
  ap(config)#ip http authentication aaa
  ap(config)#exit

• Первоначальная настройка RADIUS/TACACS сервера.

  При помощи web-интерфейса необходимо настроить любой RADIUS/TACACS+ сервер в меню Security > Server Manager > Corporate Servers. Затем установить в меню в качестве Security > Admin Access значение Local User List Only (Individual Password).