Self-signed certifikáty pre Cisco IOS a Cisco IOS XE softvér exspirujú o polnoci 1.1.2020 a nedajú sa následne vytvoriť

Cisco

Zdroj: Cisco/incident.sk

POPIS PROBLÉMU

Niektorí admini budú mať na Nový rok problémy a ešte o tom asi nevedia. Cisco minulý týždeň oznámilo chybu na zariadeniach so self-signed X.509 PKI certifikátom (SSC), ktoré boli vytvorené na zariadeniach s postihnutou verziou Cisco IOS alebo Cisco IOS XE a exspirujú 2020-01-01 00:00:00 UTC.

Po tomto dátume sa nové self-signed certifikáty nedajú vytvoriť a akýkoľvek servis vytvárajúci spojenie, ktorý na nich záleží, nebude fungovať. Tento problém sa netýka certifikátov vytvorených certifikačnou autoritou (napr. externá CA alebo Cisco IOS CA). Symptómom je táto chybová hláška:

../cert-c/source/certobj.c(535) : E_VALIDITY : validity period start later than end

POSTIHNUTÉ VERZIE A SLUŽBY

Postihnuté sú rôzne verzie od 12.4 až po 16 (zoznam na linku hore). Zoznam služieb zo stránky Cisco, ktoré budú ovplyvnené po exspirácii certifikátu:

  • SIP over TLS calls will not complete.
  • Devices registered to Cisco Unified CME with encrypted signaling enabled will no longer function.
  • Cisco Unified SRST with encrypted signaling enabled will not allow devices to register.
  • Cisco IOS dspfarm resources (Conference, Media Termination Point, or Transcoding) with encrypted signaling enabled will no longer register.
  • STCAPP ports configured with encrypted signaling will no longer register.
  • Calls through a gateway using MGCP or H.323 call signaling over IPSec without a pre-shared key will fail.
  • API calls that use the Cisco Unified Communications Gateway Services API in Secure Mode (using HTTPS) will fail.
  • RESTCONF might fail.
  • HTTPS sessions to manage the device will display a browser warning which indicates that the certificate has expired.
  • AnyConnect SSL VPN sessions will fail to establish or report an invalid certificate.
  • IPSec connections will fail to establish.

ROZSAH PROBLÉMU

Pohľadom na službu Shodan sa mi podarilo zistiť 72.042 postihnutých systémov na celom svete. Na Slovensku som našiel 137 systémov. Samozrejme toto sú systémy viditeľné na internete, postihnutých môže byť oveľa viac. Vzhľadom na to, že môžu prestať fungovať napríklad VPN spojenia, je táto chyba veľmi nepríjemná.

Obrázok č.1: Počet postihnutých zariadení na celom svete
Zdroj: Shodan/incident.sk

Obrázok č.2: Počet postihnutých zariadení na Slovensku
Zdroj: Shodan/incident.sk

RIEŠENIE

Na riešenie je popísaných niekoľko spôsobov, ktoré si môžete preštudovať na horeuvedenom linku na stránke Cisco. Ja by som ešte odporučil nenechávať admin rozhrania Cisco IOS alebo Cisco IOS XE voľne dostupné na internete. Ak ste sa na túto stránku dostali 1.1.2020, lebo vám niečo nejde na vašich Cisco zariadeniach, tak mi pošlite potom pozdravný email :o).

Obrázok: Cisco video

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on pinterest
Pinterest

ĎALŠIE ČLÁNKY, KTORÉ BY ŤA MOHLI ZAUJÍMAŤ