Cisco IOS and IOS XE Software Internet Key Exchange Denial-of-Service Vulnerability — A vulnerability in the Internet Key Exchange Version 2 (IKEv2) module of Cisco IOS and Cisco IOS XE could allow an unauthenticated, remote attacker to cause high CPU utilization, traceback messages, or a reload of an affected device that leads to a denial of service.
CVE-2017-12237 is a critical denial-of-service vulnerability in the IKEv2 module of Cisco IOS and IOS XE Software that allows an unauthenticated remote attacker to cause high CPU utilization, traceback messages, or a full device reload. With a CVSS score of 9.0 and known exploits available, this vulnerability poses a severe risk to network infrastructure relying on Cisco routers and switches for VPN connectivity. The vulnerability can be exploited remotely without authentication, making it particularly dangerous for internet-facing devices. A patch is available from Cisco and should be applied immediately.
Immediate Actions:
1. Identify all Cisco IOS and IOS XE devices running IKEv2 in your environment using 'show crypto ikev2 sa' command
2. Apply Cisco security advisory patches immediately — refer to cisco-sa-20170927-ike (September 2017 advisory)
3. If immediate patching is not possible, implement the following compensating controls:
- Apply ACLs to restrict IKEv2 (UDP 500/4500) traffic to only known and trusted VPN peers
- Enable Control Plane Policing (CoPP) to rate-limit IKE traffic
- Monitor CPU utilization with SNMP alerts for abnormal spikes
4. Deploy IDS/IPS signatures to detect malformed IKEv2 packets
5. Enable logging and monitor for traceback messages indicating exploitation attempts
6. Consider deploying Cisco IOS IPS or external firewall rules to filter malicious IKE traffic
Detection Rules:
- Monitor for repeated device reloads or high CPU events on Cisco devices
- Alert on unusual volumes of IKEv2 traffic from unexpected sources
- Snort/Suricata rules for malformed IKE packets targeting UDP 500/4500
الإجراءات الفورية:
1. تحديد جميع أجهزة Cisco IOS و IOS XE التي تشغل IKEv2 في بيئتك باستخدام أمر 'show crypto ikev2 sa'
2. تطبيق تصحيحات سيسكو الأمنية فوراً — الرجوع إلى النشرة الأمنية cisco-sa-20170927-ike
3. في حال عدم إمكانية التصحيح الفوري، تطبيق الضوابط التعويضية التالية:
- تطبيق قوائم التحكم بالوصول لتقييد حركة IKEv2 (UDP 500/4500) للأقران الموثوقين فقط
- تفعيل سياسة حماية مستوى التحكم (CoPP) للحد من حركة IKE
- مراقبة استخدام وحدة المعالجة المركزية مع تنبيهات SNMP للارتفاعات غير الطبيعية
4. نشر توقيعات IDS/IPS للكشف عن حزم IKEv2 المشوهة
5. تفعيل التسجيل ومراقبة رسائل التتبع التي تشير إلى محاولات الاستغلال
6. النظر في نشر قواعد جدار حماية خارجي لتصفية حركة IKE الضارة
قواعد الكشف:
- مراقبة إعادة التشغيل المتكررة للأجهزة أو أحداث ارتفاع وحدة المعالجة المركزية
- التنبيه على أحجام غير عادية من حركة IKEv2 من مصادر غير متوقعة