Cisco IOS, XR, and XE Software Buffer Overflow Vulnerability — Format string vulnerability in the Link Layer Discovery Protocol (LLDP) subsystem of Cisco IOS Software, Cisco IOS XE Software, and Cisco IOS XR Software could allow an unauthenticated, adjacent attacker to cause a denial of service (DoS) condition or execute arbitrary code with elevated privileges on an affected device.
CVE-2018-0175 is a critical format string vulnerability in the LLDP subsystem of Cisco IOS, IOS XE, and IOS XR Software that allows an unauthenticated, adjacent attacker to cause denial of service or execute arbitrary code with elevated privileges. With a CVSS score of 9.0 and known exploits available, this vulnerability poses a severe risk to network infrastructure. The attack requires only Layer 2 adjacency, making it particularly dangerous in shared network environments. A patch is available from Cisco and should be applied immediately.
Immediate Actions:
1. Apply Cisco security patches immediately — refer to Cisco Security Advisory cisco-sa-20180328-lldp for specific fixed software versions
2. Disable LLDP on all interfaces where it is not required: 'no lldp run' globally or 'no lldp receive' / 'no lldp transmit' per interface
3. Implement network segmentation to limit Layer 2 adjacency exposure
Detection and Monitoring:
4. Monitor for abnormal LLDP packets using IDS/IPS signatures — Snort SIDs related to LLDP format string attacks
5. Enable logging on Cisco devices to detect crash events or unexpected reloads
6. Deploy 802.1X port-based authentication to prevent unauthorized devices from gaining Layer 2 access
Compensating Controls:
7. Implement port security on switch interfaces to limit MAC addresses
8. Use private VLANs to restrict Layer 2 communication between hosts
9. Conduct a full inventory of all Cisco IOS, IOS XE, and IOS XR devices and prioritize patching based on exposure
الإجراءات الفورية:
1. تطبيق تصحيحات Cisco الأمنية فوراً — الرجوع إلى نشرة Cisco الأمنية cisco-sa-20180328-lldp للحصول على إصدارات البرامج المصححة
2. تعطيل LLDP على جميع المنافذ التي لا تحتاجه: 'no lldp run' على مستوى الجهاز أو 'no lldp receive' / 'no lldp transmit' لكل منفذ
3. تنفيذ تجزئة الشبكة للحد من التعرض على الطبقة الثانية
الكشف والمراقبة:
4. مراقبة حزم LLDP غير الطبيعية باستخدام أنظمة كشف ومنع التسلل
5. تفعيل التسجيل على أجهزة Cisco للكشف عن أحداث التعطل أو إعادة التشغيل غير المتوقعة
6. نشر مصادقة 802.1X على المنافذ لمنع الأجهزة غير المصرح بها من الوصول للطبقة الثانية
الضوابط التعويضية:
7. تنفيذ أمان المنافذ على واجهات المحولات للحد من عناوين MAC
8. استخدام شبكات VLAN الخاصة لتقييد الاتصال على الطبقة الثانية
9. إجراء جرد كامل لجميع أجهزة Cisco IOS و IOS XE و IOS XR وتحديد أولويات التصحيح بناءً على التعرض