Cisco IOS, XR, and XE Software Buffer Overflow Vulnerability — There is a buffer overflow vulnerability in the Link Layer Discovery Protocol (LLDP) subsystem of Cisco IOS Software, Cisco IOS XE Software, and Cisco IOS XR Software which could allow an unauthenticated, adjacent attacker to cause a denial of service (DoS) condition or execute arbitrary code.
CVE-2018-0167 is a critical buffer overflow vulnerability in the LLDP subsystem of Cisco IOS, IOS XE, and IOS XR Software, allowing an unauthenticated adjacent attacker to execute arbitrary code or cause denial of service. With a CVSS score of 9.0 and publicly available exploits, this vulnerability poses severe risk to network infrastructure. An attacker on the same Layer 2 network segment can send crafted LLDP packets to exploit vulnerable Cisco devices, potentially gaining full control of routers and switches. Organizations running unpatched Cisco networking equipment should treat this as an urgent priority.
Immediate Actions:
1. Identify all Cisco IOS, IOS XE, and IOS XR devices in your environment using asset inventory tools
2. Apply Cisco security patches immediately — refer to Cisco Security Advisory cisco-sa-20180328-lldp
3. If patching is not immediately possible, disable LLDP on all interfaces where it is not required: 'no lldp run' globally or 'no lldp receive' / 'no lldp transmit' per interface
4. Implement Layer 2 network segmentation to limit adjacent attacker reach
5. Restrict physical and logical access to network segments containing vulnerable devices
Detection Rules:
- Monitor for abnormal or malformed LLDP packets on network segments using IDS/IPS signatures
- Deploy Snort/Suricata rules for LLDP buffer overflow attempts
- Monitor Cisco device logs for unexpected crashes or reloads (indicative of exploitation attempts)
- Enable LLDP packet rate limiting where supported
Long-term:
- Establish a regular Cisco IOS patching cycle
- Implement network access control (802.1X) to prevent unauthorized devices from reaching Layer 2 segments
الإجراءات الفورية:
1. تحديد جميع أجهزة Cisco IOS و IOS XE و IOS XR في بيئتكم باستخدام أدوات جرد الأصول
2. تطبيق تصحيحات سيسكو الأمنية فوراً — الرجوع إلى نشرة سيسكو الأمنية cisco-sa-20180328-lldp
3. في حال عدم إمكانية التحديث فوراً، تعطيل LLDP على جميع المنافذ غير المطلوبة: 'no lldp run' على مستوى الجهاز أو 'no lldp receive' / 'no lldp transmit' لكل منفذ
4. تطبيق تجزئة شبكة الطبقة الثانية للحد من نطاق وصول المهاجم المجاور
5. تقييد الوصول المادي والمنطقي لشرائح الشبكة التي تحتوي على أجهزة معرضة
قواعد الكشف:
- مراقبة حزم LLDP غير الطبيعية أو المشوهة على شرائح الشبكة باستخدام أنظمة كشف/منع التسلل
- نشر قواعد Snort/Suricata لمحاولات تجاوز المخزن المؤقت في LLDP
- مراقبة سجلات أجهزة سيسكو للأعطال أو إعادة التشغيل غير المتوقعة
- تفعيل تحديد معدل حزم LLDP حيثما أمكن
على المدى الطويل:
- إنشاء دورة تحديث منتظمة لأنظمة Cisco IOS
- تطبيق التحكم في الوصول للشبكة (802.1X) لمنع الأجهزة غير المصرح بها من الوصول لشرائح الطبقة الثانية