PLANO DE IMPLEMENTAÇÃO

Código: FO.GMD.040

Passos Críticos

1. Preparado por: Anderson Pontes (2S)

Data da Janela: 16/12/2023 12:00 – 14:00hs

2. Tipo da release
Sistemas Infraestrutura

3. Promoção para produção será na Parada Programada?

Sim Não

4. Relacionar Grupo de Empresas Afetadas

Empresas CABs de Referência

Aços Longos
Distribuição
BioFlorestas
Longos e Shared Service (HPSM)
Centro Corporativo
Point Lisas
Projects
Arames
Arames (HPSM)
Cimaf
ABEB ABEB (HPSM)
ArcelorMittal Sistemas AMS (HPSM)
Aços Planos
Contagem
Planos (HPSM)
Mina do Andrade
Serra Azul
Acindar
Rede Acindar Acindar e Costa Rica (HPSM)
Costa Rica
Aperam Indústria
Aperam Bioenergia
Aperam (HPSM)
Aperam Serviços
Aperam Tubos
Synergo Synergo (HPSM)
Libéria FO.GMD.034 - Change Advisory Board - Liberia
EUA FO.GMD.036 - Change Advisory Board - USA
Mines FO.GMD.037 - Change Advisory Board - Mines
Dofasco
FO GMD 050 - Change Advisory Board - DOMEX
México

5. Horário da promoção para a produção

Início: 12:00
Vigência:12/12/2017 Solicitação: 1375691 Revisão: 14 Pág.: 1 de 15
 PLANO DE IMPLEMENTAÇÃO
Código: FO.GMD.040

Término: 14:00

6. Haverá Indisponibilidade do ambiente?

Sim Não
Janela de 02 horas com previsão de indisponibilidade de até 30 minutos

Equipamentos afetados
Device ID Platform IP address
MSUsw22162.evrj.belgo-mineira.com.br cisco WS-C2950-24 10.44.17.3
MSUsw16150.bms.com.br cisco WS-C2950-24 10.44.17.4
MSUsw22161.rede.arcelormittal.com.br cisco WS-C2950-24 10.44.17.2

AREA
USINA EQUIPAMENTOS AFETADOS DATA JANELA INDISPONIBILIDDE
AFETADA
RIO DE Toda a Cisco WS-C3650-24TS-S -
16/12/2023 12 – 14:00 30 minutos
JANEIRO localidade RJOsw0001 - 10.44.17.1

 Proposta de Upgrade do Switch Cisco C3650 – unidade RIO DE JANEIRO

IP: 10.44.17.1

Conforme consta no release note da versão recomendada, a versão para atualizar a imagem do
switch deve seguir os procedimentos exatos para upgrade. Siga estas instruções para atualizar de
uma versão Cisco Catalyst IOS atual para uma versão posterior no modo de instalação verificando a
correta versão através do comando show version.
Cisco IOS XE Software, Version 16.06.07
Cisco IOS Software [Everest], Catalyst L3 Switch Software (CAT3K_CAA-UNIVERSALK9-M),
Version 16.6.7, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2019 by Cisco Systems, Inc.
Compiled Mon 23-Sep-19 12:59 by mcpre

ROM: IOS-XE ROMMON

System restarted at 16:45:42 BRT Thu May 18 2023
System image file is "flash:packages.conf"
Last reload reason: Power Failure or Unknown

É também aconselhável, caso a versão atual fique muito abaixo da Target Version (que seria a
versão recomendada pelo fabricante), ter uma atualização numa versão intermediaria.

Versão atual dos equipamentos:

SERIAL PART NUMBER Hostname Endereço IP Segmento Localidade Versão atual

FDO2244E1JW WS-C3650-24TS-S RJOsw0001 10.44.17.1 LONGOS RIO DE JANEIRO 16.6.7

Versão Recomendada:
Target Version:

Vigência:12/12/2017 Solicitação: 1375691 Revisão: 14 Pág.: 2 de 15

 PLANO DE IMPLEMENTAÇÃO
Código: FO.GMD.040

 16.12.10a MD

https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3650/software/release/16-12/release_notes/ol-16-12-3650.html

MD5: 5fb8c72dffb04628549b665ed51ab448

Informações da janela a ser realizada:

CIDADE Área afetada Equip. afetados Data Janela Indisponibilidade

RIO DE JANEIRO Toda a localidade WS-C3650-24TS-S A definir A definir N/A

 Problemas identificados nos equipamentos que serão atualizados:

Não foram identificados problemas com os equipamentos a serem atualizados.

 Atividades da Janela

Atividades Pré-Change

Passo Data Descrição Atividade Executor Tempo Atividade

1 A definir Realizar o backup das configurações do switch (running config) 2S/AMS 00:10
2 A definir Download do software na versão recomendada no plano 2S/AMS 00:30
3 A definir Upload do software no switch usando servidor remoto 2S/AMS 00:30
4 A definir Realizar a validação da integridade do software na memória 2S/AMS 00:15
flash do switch usando o comando MD5
5 A definir Validar a conexão do cabo console, notebook e conexão Internet 2S/AMS 00:15
diretamente do local onde o switch está instalado

Atividades da change:
Vigência:12/12/2017 Solicitação: 1375691 Revisão: 14 Pág.: 3 de 15
 PLANO DE IMPLEMENTAÇÃO
Código: FO.GMD.040

Passo Data Descrição Atividade Executor Tempo Atividade

6 A definir Realizar a limpeza do Boot System do Switch 2S/AMS 00:05
7 A definir Realizar a configuração do Boot System ou instalação do pacote 2S/AMS 00:10
da imagem nova
8 A definir Confirmar a configuração do Boot System apontando para a 2S/AMS 00:05
nova versão do software
9 A definir Salvar as configurações usando o comando “write memory” 2S/AMS 00:05
10 A definir Realizar o reload do switch 2S/AMS 00:30
11 A definir Validar a versão do software após o reload usando o comando 2S/AMS 00:05
“show version”

Atividades roll back:

Passo Data Descrição Atividade Executor Tempo Atividade

12 A definir Caso o switch não retorne a operacionalidade após o reload 2S/AMS 00:15
iniciar as atividades de roll back conectando o pen drive, o cabo
console e o notebook ao switch provendo acesso remoto através
da Internet
13 A definir Realizar o procedimento de apontamento da configuração da 2S/AMS 00:10
imagem antiga
14 A definir Realizar o reload do switch 2S/AMS 00:30
15 A definir Validar o retorno do switch a versão antiga do software após 2S/AMS 00:05
reload usando o comando “show version”

7. Pré-requisitos

 Realizar contato com o NOC no momento da janela e solicitar para desconsiderar alarmes
vindo da área em questão;
 Backup prévio do IOS e configurações;
 Produção do Caderno de Testes junto ao responsável da Arcelor;
 Teste prévio de acesso à console dos equipamentos;
 Teste prévio do ambiente em questão;
 Verificação da memória flash dos equipamentos antes da transferência da imagem, caso
necessário apagar imagens que não estão em uso;
 Verificar tamanho da imagem a ser transferida, se é compatível com o espaço em flash;
 Garantir upgrade da imagem na memória flash do dispositivo a ser atualizado;
 Validar MD5 da imagem para verificar a confiabilidade e integridade da imagem;
 Servidor TFTP alcançável a partir do dispositivo a ser atualizado para a transferência da
imagem;
 Download da nova imagem;
 Validar usuários e senhas de acesso.

8. Restrições

 A execução das ações durante à janela se limita apenas aos equipamentos abaixo:

Vigência:12/12/2017 Solicitação: 1375691 Revisão: 14 Pág.: 4 de 15

 PLANO DE IMPLEMENTAÇÃO
Código: FO.GMD.040

FDO2244E1JW RJOsw0001 16.06.07 10.44.17.1 RIO DE JANEIRO

 Versão atual dos equipamentos e os seguinte comandos coletados:

10.44.17.1
 Show PNP HA Tracking

HA Presence Checking: No, RF Support Yes

RF Op-Mode Registry: Yes, State: 0
Config-Sync Registry: Yes, State: -
Standby Notify Hot: 0, Cold: 0

 Show Version
RJOsw0001# show version
Cisco IOS XE Software, Version 16.06.07
Cisco IOS Software [Everest], Catalyst L3 Switch Software (CAT3K_CAA-UNIVERSALK9-M), Version 16.6.7,
RELEASE SOFTWARE (fc2)
!
ROM: IOS-XE ROMMON

cisco WS-C3650-24TS (MIPS) processor (revision N0) with 852878K/6147K bytes of memory.
Processor board ID FDO2244E1JW
4 Virtual Ethernet interfaces
28 Gigabit Ethernet interfaces
2048K bytes of non-volatile configuration memory.
4194304K bytes of physical memory.
252000K bytes of Crash Files at crashinfo:.
1611414K bytes of Flash at flash:.

Switch Ports Model SW Version SW Image Mode

------ ----- ----- ---------- ---------- ----
* 1 28 WS-C3650-24TS 16.6.7 CAT3K_CAA-UNIVERSALK9 INSTALL

 Show Platform
Switch/Stack Mac Address : d4c9.3cfa.ed80 - Local Mac Address
Mac persistency wait time: Indefinite
Current
Switch# Role Priority State
-------------------------------------------
*1 Active 1 Ready

9. Atividades da Janela

Atualização do switch CISCO 3650 com a nova IOS recomendada pela Cisco.

Release 16.12.10a MD (Target Version)

https://software.cisco.com/download/home/284846024/type/282046477/release/Gibraltar-16.12.10a
Vigência:12/12/2017 Solicitação: 1375691 Revisão: 14 Pág.: 5 de 15
 PLANO DE IMPLEMENTAÇÃO
Código: FO.GMD.040

Detalhamento das atividades:

 Atividade 1 – Backup das configurações

Como um processo de boas práticas, será realizado um backup das configurações do Switch antes
do processo de Upgrade de IOS. Este backup ficará armazenado conforme diretório fornecido pelo
cliente. O processo de backup das configurações será realizado conforme comando abaixo:

Switch# copy running-config tftp://ip-do-servidor/bkp-switch-ddmmaa

 Atividade 2 – Limpeza
ATENÇÃO: Todas as atualizações 16.x.x são feitas em INSTALL MODE

request platform software package clean switch all file flash:

Use este comando para limpar arquivos de instalação antigos; isso garante que você tenha espaço
suficiente na unidade flash para expandir uma nova imagem.:

Switch# request platform software package clean switch all file flash:

Running command on switch 1

Cleaning up unnecessary package files
Scanning boot directory for packages ... done.

 Atividade 3 – Upload da imagem

Copie a nova imagem para flash:

a) copy tftp: flash:

Use este comando para copiar a imagem do servidor tftp para flash.

(EXEMPLO)
Switch# copy tftp://5.28.11.250/cat3k_caa-universalk9.16.12.01.SPA.bin flash:
cat3k_caa-universalk9.16.12.01.SPA.bin

Destination filename [cat3k_caa-universalk9.16.12.01.SPA.bin]?

Accessing tftp://5.28.11.250/cat3k_caa-universalk9.16.12.01.SPA.bin...
Loading cat3k_caa-universalk9.16.12.01.SPA.bin from 5.28.11.250 (via
GigabitEthernet0/0):
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
[OK - 373203016 bytes]

dir flash:
Use este comando para confirmar que a imagem foi copiada com sucesso para flash.

Switch# dir flash:*.bin

Vigência:12/12/2017 Solicitação: 1375691 Revisão: 14 Pág.: 6 de 15

 PLANO DE IMPLEMENTAÇÃO
Código: FO.GMD.040

Imagem de instalação do software para flash

a) request platform software package install
Use este comando para instalar a imagem de destino para flash. Use a opção auto-copy para
copiar a imagem .bin da flash:. Recomendamos copiar a imagem para um servidor TFTP ou
para a unidade flash do switch:

Switch# request platform software install switch all file flash-2:cat3k_caa-

universalk9.16.03.11.SPA.bin new auto-copy

Observação
Você deve usar a nova opção ao atualizar do Cisco IOS XE Denali 16.1.x, 16.2.x ou 16.3.1 para o
Cisco IOS XE Everest 16.x.x, ou Cisco IOS XE Fuji 16.x.x, ou Cisco IOS XE Gibraltar 16. X.x,
porque há alterações de empacotamento nas diferentes versões 16.x.x.

Observação
Ao executar o comando, a seguinte mensagem é exibida. Isso é esperado e não afeta a atualização.
Consulte CSCux82059: pacote desconhecido Tipo 21

Switch# request platform software package install switch all file flash:cat3k_caa-
universalk9.16.03.11.SPA.bin new auto-copy

ATENÇÃO: Arquivos antigos listados nos logs não serão removidos do flash.

b) dir flash:
Depois de instalar o software com sucesso, use este comando para verificar se a partição
flash teve arquivo packages.conf atualizado. Veja o exemplo de saída abaixo:

Switch# dir flash:*.pkg

Directory of flash:/*.pkg
Directory of flash:/
7747 -rw- 281076014 Mar 27 2016 22:15:50 +00:00 cat3k_caa-
guestshell.16.03.05.SPA.pkg
7748 -rw- 7197312 Mar 27 2016 22:15:51 +00:00 cat3k_caa-
rpbase.16.03.05.SPA.pkg
7749 -rw- 166767220 Mar 27 2016 22:15:51 +00:00 cat3k_caa-
rpcore.16.03.05.pkg

Switch# dir flash:*.conf

Directory of flash:/packages.conf
32342 -rw- 4690 Jul 24 2019 04:40:42 -07:00 packages.conf
1562509312 bytes total (730988544 bytes free)

c) dir flash:*.bin
Depois de instalar a imagem com sucesso, não é mais necessário a imagem.bin. Se você
copiou o arquivo para flash, use este comando para verificar se ele ainda está salvo no flash
de cada switch.
Vigência:12/12/2017 Solicitação: 1375691 Revisão: 14 Pág.: 7 de 15
 PLANO DE IMPLEMENTAÇÃO
Código: FO.GMD.040

Switch# dir flash:*.bin

Directory of flash:/
32339 -rw- 373217171 Jul 24 2019 13:52:53 -07:00 cat3k_caa-
universalk9.16.12.01.SPA.bin
1562509312 bytes total (731021312 bytes free)

d) delete flash:
Se uma imagem ainda estiver salva, use este comando para excluí-la, caso contrário, ela foi
excluída como parte da operação de instalação e você pode pular esta etapa.

Switch# delete flash:cat3k_caa-universalk9.16.12.01.SPA.bin

Delete filename [cat3k_caa-universalk9.16.12.01.SPA.bin]?
Delete flash:/ cat3k_caa-universalk9.16.12.01.SPA.bin? [confirm]

Editando a variável de boot

a) no boot system
Use esse commando para limpar a variável boot.

Switch# config t
Switch(config)# no boot system

b) boot system
Use este commando para editar a variável boot, apontando-a para a nova imagem.

Switch(config)# boot system flash:packages.conf

c) write memory
Use este comando para salvar as mudanças de configuração.

Switch# write memory

Recarregar
a) reload
Use este comando no modo EXEC privilegiado para reiniciar o switch.

Switch# reload

b) boot flash:
Se o switch estiver configurado com inicialização automática, a pilha inicializará
automaticamente com a nova imagem. Caso contrário, você pode inicializar manualmente o
flash:packages.conf

Switch# boot flash:packages.conf

Vigência:12/12/2017 Solicitação: 1375691 Revisão: 14 Pág.: 8 de 15

 PLANO DE IMPLEMENTAÇÃO
Código: FO.GMD.040

c) show version
Use este comando para verificar a versão da nova imagem.

Switch# show version

Cisco IOS XE Software, Version 16.12.10a

10. Definir categoria e risco da release

Categoria da release: Baixo Impacto Médio Impacto Alto Impacto

A categoria deve ser avaliada conforme a tabela abaixo:

Impacto Descrição
Não está previsto indisponibilidade no ambiente e relacionada a uma única
Baixo
empresa.
Médio Está previsto indisponibilidade no ambiente ou relacionada a mais de uma empresa.
Alto Item de configuração (IC) ou objeto ECC críticos.

Informe na lista os riscos relacionados a release

Grau do Risco
Risco Estratégia de mitigação
(Baixo/Médio/Alto)
Indisponibilidade do
Retornar as portas para shutdown
dispositivo de rede que sofre Baixo
para resolver o problema.
a atualização
Defeito em cabos UTP Ferramentas pra conectorização Baixo
Retornar a imagem anterior.
Problemas com a nova
Preparar Pen drive com imagem Baixo
imagem
anterior para rollback no local
Perda das configurações Retorno do backup Baixo

Grau do Risco
Risco Estratégia de mitigação
(Baixo/Médio/Alto)
Falta de energia nas localidades
Retorno da imagem anterior Baixo
no momento das atualizações
Configuração do usuário adm atual para
Falha no acesso da senha enable Baixo
enable
Problemas e/ou falhas na
Validar se o IOS está integro e sem erros
transferência do arquivo do Baixo
antes de prosseguir com o upgrade
Software
Dispositivo de rede que sofre a Retorno da Versão Anterior da Imagem. Baixo
atualização não operar após Preparar Pen drive com imagem
Vigência:12/12/2017 Solicitação: 1375691 Revisão: 14 Pág.: 9 de 15
 PLANO DE IMPLEMENTAÇÃO
Código: FO.GMD.040

upgrade anterior para rollback no local

Risco de instabilidade do Aplicar as instruções informadas no
Baixo
ambiente após o Upgrade release notes do fabricante.
Dispositivo de rede que sofre a
atualização não inicializar após Retornar a imagem anterior. Médio
o boot
Acionar o suporte local para estar
Demora no retorno da
presente na janela com os recursos
disponibilidade dos Alto
necessário para auxiliar os especialistas
equipamentos
a recuperarem o ambiente
Falha no upgrade problema de
espaço na memória do
Verificar na janela pré-change e se for o
equipamento; Baixo
caso abortar a janela.

Demora no upgrade devido

informar ao cliente sobre a possibilidade
desempenho do equipamento no
de aumento na janela de Baixo
processo de extração e
indisponibilidade
instalação do novo software;
Problema na reinicialização do
Utilizar o suporte local para avaliação
equipamento com o software
do problema e realizar os procedimentos Médio
novo. Necessário realizar um
de retorno conforme informações da tela
boot manual no equipamento;
Imagem do software antiga não
presente no equipamento no Avaliar na pré-change e garantir a
Baixo
momento de realizar um roll imagem no equipamento.
back;

IMPORTANTE: Caso não possível de identificar riscos na tabela, justifique na coluna

“RISCO”.

11. Detalhar os Impactos durante a execução (sistemas, ambientes, áreas internas e clientes)

Durante a pré change (pré-requisitos) pode haver insta labilidade nas redes que passam através do
switch.

Plano de Retorno ou Plano de Correção

Retorno da imagem anterior, e realização dos testes de conexões mencionados anteriormente.

12. Plano de Divulgação

Atividade deverá ser alinhada como o negócio junto ao supervisor de site.

13. Validação da implementação da promoção para a produção (pós-produção)

Testes de conectividade e aplicação feito por usuários chaves indicadas pelos clientes.

14. Lista de CVE’s (vulnerabilidades)

As vulnerabilidades são indicadas conforme detalhe abaixo:

Vigência:12/12/2017 Solicitação: 1375691 Revisão: 14 Pág.: 10 de 15

PLANO DE IMPLEMENTAÇÃO
Código: FO.GMD.040

First
Alert
Vulnerability Description Alert URL Published
ID
Date

Vigência:12/12/2017 Solicitação: 1375691 Revisão: 14 Pág.: 11 de 15

PLANO DE IMPLEMENTAÇÃO
Código: FO.GMD.040

Cisco IOS XE Software

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/ 2020-Sep-
1957 Vulnerable Arbitrary Code
cisco-sa-xbace-OnCEbyS 24
Execution Vulnerability
Cisco IOS XE Software
Rate Limiting Network
Potentially https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/ 2021-Sep-
2355 Address Translation
Vulnerable cisco-sa-ratenat-pYVLA7wM 22
Denial of Service
Vulnerability
Cisco IOS XE Software
Potentially for Catalyst Switches https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/ 2022-Sep-
2568
Vulnerable MPLS Denial of Service cisco-sa-iosxe-mpls-dos-Ab4OUL3 28
Vulnerability
Cisco IOS and IOS XE
Software Autonomic
Potentially https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/ 2017-Jul-
703 Control Plane Channel
Vulnerable cisco-sa-20170726-aniacp 26
Information Disclosure
Vulnerability
Cisco IOS XE Software
Autonomic Networking
Potentially https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/ 2017-Jul-
701 Infrastructure
Vulnerable cisco-sa-20170726-anicrl 26
Certificate Revocation
Vulnerability
Cisco IOS and IOS XE
Software IPv6 DHCP
Potentially https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/ 2023-
2585 (DHCPv6) Relay and
Vulnerable cisco-sa-ios-dhcpv6-dos-44cMvdDK Mar-22
Server Denial of Service
Vulnerability
Cisco IOS XE Software
Potentially https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/ 2021-
2173 Plug-and-Play Privilege
Vulnerable cisco-sa-ios-xe-pnp-priv-esc-AmG3kuVL Mar-24
Escalation Vulnerability
Cisco IOS XE Software
Potentially IP Service Level https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/ 2020-Sep-
1945
Vulnerable Agreements Denial of cisco-sa-ipsla-jw2DJmSv 24
Service Vulnerability
Cisco IOS and IOS XE
Potentially https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/ 2022-Sep-
2586 Software SSH Denial of
Vulnerable cisco-sa-ssh-excpt-dos-FzOBQTnk 28
Service Vulnerability
Cisco IOS XE Software
for Catalyst 3650 and
Potentially https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/ 2023-Sep-
2659 Catalyst 3850 Series
Vulnerable cisco-sa-cat3k-dos-ZZA4Gb3r 27
Switches Denial of
Service Vulnerability
Cisco IOS and IOS XE
Potentially Software ISDN Q.931 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/ 2020-Sep-
1982
Vulnerable Denial of Service cisco-sa-iosxe-isdn-q931-dos-67eUZBTf 24
Vulnerability
Cisco IOS XE Software
Potentially DECnet Phase IV/OSI https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/ 2021-
2190
Vulnerable Denial of Service cisco-sa-iosxe-decnet-dos-cuPWDkyL Mar-24
Vulnerability
Cisco IOS and IOS XE
Potentially Software Split DNS https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/ 2020-Sep-
1961
Vulnerable Denial of Service cisco-sa-splitdns-SPWqpdGW 24
Vulnerability
Multiple Vulnerabilities
Potentially in Cisco IOS XE https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/ 2023-Oct-
2789
Vulnerable Software Web UI cisco-sa-iosxe-webui-privesc-j22SaA4z 16
Feature
Cisco IOS XE Software
Potentially NETCONF Over SSH https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/ 2022-Apr-
2466
Vulnerable Denial of Service cisco-sa-ncossh-dos-ZAkfOdq8 13
Vulnerability
Cisco IOS XE Software
NETCONF and
Potentially https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/ 2021-Sep-
2362 RESTCONF
Vulnerable cisco-sa-aaa-Yx47ZT8Q 22
Authentication Bypass
Vulnerability
Cisco IOS and IOS XE
Potentially Software Command https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/ 2023-Sep-
2770
Vulnerable Authorization Bypass cisco-sa-aaascp-Tyj4fEJm 27
Vulnerability
Vigência:12/12/2017 Solicitação: 1375691 Revisão: 14 Pág.: 12 de 15
 PLANO DE IMPLEMENTAÇÃO
Código: FO.GMD.040

Cisco IOS XE Software

Potentially https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/ 2020-Jun-
1871 Web UI Privilege
Vulnerable cisco-sa-webui-PZgQxjfG 03
Escalation Vulnerability
Cisco IOS and IOS XE
Potentially Software TrustSec CLI https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/ 2021-Sep-
2375
Vulnerable Parser Denial of Service cisco-sa-trustsec-dos-7fuXDR2 22
Vulnerability
Cisco IOS XE Software
Potentially https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/ 2020-Sep-
1948 Privilege Escalation
Vulnerable cisco-sa-ios-webui-priv-esc-K8zvEWM 24
Vulnerabilities
Cisco IOx Application
Potentially Hosting Environment https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/ 2023-Feb-
2649
Vulnerable Command Injection cisco-sa-iox-8whGn5dL 01
Vulnerability
Cisco IOS XE Software
DNS NAT Protocol
Potentially https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/ 2021-
2184 Application Layer
Vulnerable cisco-sa-alg-dos-hbBS7SZE Mar-24
Gateway Denial of
Service Vulnerability
Cisco IOS XE Software
Potentially Zone-Based Firewall https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/ 2020-Sep-
1958
Vulnerable Denial of Service cisco-sa-zbfw-94ckG4G 24
Vulnerabilities
Cisco IOS XE Software
Potentially Web UI Cross-Site https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/ 2021-
2160
Vulnerable WebSocket Hijacking cisco-sa-iosxe-cswsh-FKk9AzT5 Mar-24
Vulnerability
Cisco IOS XE Software
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/ 2021-
2162 Vulnerable Fast Reload
cisco-sa-fast-Zqr6DD5 Mar-24
Vulnerabilities
Cisco IOS and IOS XE
Software Autonomic
Potentially https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/ 2017-Jul-
704 Networking
Vulnerable cisco-sa-20170726-anidos 26
Infrastructure Denial of
Service Vulnerability
Cisco IOS XE Software
Potentially IPv6 VPN over MPLS https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/ 2022-Sep-
2556
Vulnerable Denial of Service cisco-sa-iosxe-6vpe-dos-tJBtf5Zv 28
Vulnerability
Telnet Vulnerability
Potentially https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/ 2020-Jun-
1891 Affecting Cisco
Vulnerable cisco-sa-telnetd-EFJrEzPx 24
Products: June 2020
Cisco IOS and IOS XE
Software IKEv2
Potentially https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/ 2021-Sep-
2376 AutoReconnect Feature
Vulnerable cisco-sa-ikev2-ebFrwMPr 22
Denial of Service
Vulnerability
Cisco IOS XE Software
Potentially https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/ 2020-Jun-
1854 Web UI Remote Code
Vulnerable cisco-sa-iosxe-webui-rce-uk8BXcUD 03
Execution Vulnerability
Cisco IOS and IOS XE
Potentially Software FXO Interface https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/ 2021-Sep-
2377
Vulnerable Destination Pattern cisco-sa-fxo-pattern-bypass-jUXgygYv 22
Bypass Vulnerability
Cisco IOS XE Software
Digital Signature https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/ 2020-Jun-
1876 Vulnerable
Verification Bypass cisco-sa-iosxe-digsig-bypass-FYQ3bmVq 03
Vulnerability
Cisco IOS XE Software
Potentially https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/ 2020-Jun-
1855 Web UI Command
Vulnerable cisco-sa-web-cmdinj2-fOnjk2LD 03
Injection Vulnerability

Abaixo o detalhamento executivo das vulnerabilidades potenciais apontadas pela Cisco para o
modelo de equipamento objeto do plano de atualização apresentado acima:

Description
Cisco IOS XE Software Arbitrary Code Uma exploração bem-sucedida pode permitir que o invasor execute código persistente no sistema
Execution Vulnerability operacional subjacente.

Vigência:12/12/2017 Solicitação: 1375691 Revisão: 14 Pág.: 13 de 15

PLANO DE IMPLEMENTAÇÃO
Cisco IOS XE Software Rate Limiting
Network Address Translation Denial of
Service Vulnerability
Cisco IOS XE Software for Catalyst
Switches MPLS Denial of Service
Vulnerability
Cisco IOS and IOS XE Software
Autonomic Control Plane Channel
Information Disclosure Vulnerability
Cisco IOS XE Software Autonomic
Networking Infrastructure Certificate
Revocation Vulnerability
Cisco IOS and IOS XE Software IPv6 DHCP
(DHCPv6) Relay and Server Denial of
Service Vulnerability
Cisco IOS XE Software Plug-and-Play
Privilege Escalation Vulnerability
Cisco IOS XE Software IP Service Level
Agreements Denial of Service
Vulnerability
Cisco IOS and IOS XE Software SSH
Denial of Service Vulnerability
Cisco IOS XE Software for Catalyst 3650
and Catalyst 3850 Series Switches Denial
of Service Vulnerability
Cisco IOS and IOS XE Software ISDN
Q.931 Denial of Service Vulnerability
Cisco IOS XE Software DECnet Phase
IV/OSI Denial of Service Vulnerability
Cisco IOS and IOS XE Software Split DNS
Denial of Service Vulnerability
Multiple Vulnerabilities in Cisco IOS XE
Software Web UI Feature
Cisco IOS XE Software NETCONF Over
SSH Denial of Service Vulnerability
Cisco IOS XE Software NETCONF and
RESTCONF Authentication Bypass
Vulnerability
Cisco IOS and IOS XE Software Command
Authorization Bypass Vulnerability
Cisco IOS XE Software Web UI Privilege
Escalation Vulnerability
Cisco IOS and IOS XE Software TrustSec
CLI Parser Denial of Service
Vulnerability
Cisco IOS XE Software Privilege
Escalation Vulnerabilities
Cisco IOx Application Hosting
Environment Command Injection
Vulnerability
Cisco IOS XE Software DNS NAT Protocol
Application Layer Gateway Denial of
Service Vulnerability
Cisco IOS XE Software Zone-Based
Firewall Denial of Service Vulnerabilities
Cisco IOS XE Software Web UI Cross-Site
WebSocket Hijacking Vulnerability
Cisco IOS XE Software Fast Reload
Vulnerabilities
Cisco IOS and IOS XE Software
Autonomic Networking Infrastructure
Denial of Service Vulnerability
Cisco IOS XE Software IPv6 VPN over
MPLS Denial of Service Vulnerability
Telnet Vulnerability Affecting Cisco
Products: June 2020
Cisco IOS and IOS XE Software IKEv2
Uma exploração bem-sucedida pode permitir que o invasor esgote os endereços IP do pool local
AutoReconnect Feature Denial of Service
atribuído, o que impede os usuários de fazer login e leva a uma condição de negação de serviço (DoS).
Vulnerability
Vigência:12/12/2017
Código: FO.GMD.040
Uma exploração bem-sucedida pode permitir que o invasor faça com que a utilização do processador
QuantumFlow atinja 100% no dispositivo afetado, resultando em uma condição DoS.
Uma exploração bem-sucedida pode permitir que o invasor faça com que o dispositivo seja
recarregado, resultando em uma condição DoS.
Uma exploração bem-sucedida também poderia permitir que o invasor capturasse e visualizasse
pacotes ACP, que deveriam ter sido criptografados no ACP, em texto não criptografado.
Uma exploração bem-sucedida pode permitir que o invasor insira um nó autônomo anteriormente
confiável no domínio autônomo de um sistema afetado após o certificado do nó ter sido revogado.
Uma exploração bem-sucedida pode permitir que o invasor faça com que o dispositivo seja
recarregado inesperadamente.
Uma exploração bem-sucedida pode permitir que o invasor obtenha um token de autenticação
privilegiado
Uma exploração bem-sucedida poderia permitir que o invasor fizesse com que uma porta em uso
fosse consumida pelo respondente IP SLA, impactando o recurso que estava usando a porta e
resultando em uma condição DoS.
Uma exploração bem-sucedida pode permitir que o invasor faça com que o dispositivo afetado seja
recarregado.
Uma exploração bem-sucedida pode permitir que o invasor faça com que o dispositivo seja
recarregado, resultando em uma condição DoS.
Uma exploração bem-sucedida pode permitir que o invasor trave o processo, resultando na recarga
do dispositivo afetado.
Uma exploração bem-sucedida pode permitir que o invasor faça com que o dispositivo afetado seja
recarregado, resultando em uma condição DoS.
Uma exploração bem-sucedida pode permitir que o invasor faça com que o dispositivo seja
recarregado, resultando em uma condição DoS.
O invasor então explorou outro componente do recurso de UI da web, aproveitando o novo usuário
local para elevar o privilégio de root e gravar o implante no sistema de arquivos.
Uma exploração bem-sucedida pode permitir que o invasor esgote recursos, fazendo com que o
dispositivo seja recarregado e resultando em uma condição DoS no dispositivo afetado.
Uma exploração bem-sucedida pode permitir que o invasor use NETCONF ou RESTCONF para instalar,
manipular ou excluir a configuração de um dispositivo de rede ou corromper a memória do
dispositivo, resultando em DoS.
Uma exploração bem-sucedida pode permitir que o invasor obtenha ou altere a configuração do
dispositivo afetado e coloque ou recupere arquivos do dispositivo afetado.
Uma exploração pode permitir que o invasor, como usuário somente leitura, execute comandos CLI
ou alterações de configuração como se fosse um usuário administrador.
Uma exploração bem-sucedida pode permitir que o invasor faça com que o dispositivo seja
recarregado, resultando em uma condição de negação de serviço (DoS).
Múltiplas vulnerabilidades na estrutura de gerenciamento da Web do software Cisco IOS XE podem
permitir que um invasor remoto autenticado com privilégios somente leitura eleve privilégios ao nível
de um usuário administrador em um dispositivo afetado.
Uma exploração bem-sucedida pode permitir que o invasor execute comandos arbitrários como root
no sistema operacional host subjacente.
Uma exploração bem-sucedida pode permitir que um invasor faça com que o dispositivo seja
recarregado, resultando em uma condição de negação de serviço (DoS) no dispositivo afetado.
Uma exploração bem-sucedida pode permitir que o invasor faça com que o dispositivo recarregue ou
interrompa o encaminhamento de tráfego através do firewall, resultando em negação de serviço.
Uma exploração bem-sucedida pode permitir que o invasor corrompa a memória do dispositivo
afetado, forçando-o a recarregar e causando uma condição de DoS.
Uma exploração bem-sucedida pode permitir que o invasor execute código arbitrário no sistema
operacional subjacente ou execute código não assinado e ignore a parte de verificação de imagem do
processo de inicialização segura.
Uma exploração bem-sucedida pode permitir que o invasor redefina o canal ACP de um sistema
afetado e, consequentemente, faça com que o dispositivo afetado seja recarregado, resultando em
uma condição DoS.
Uma exploração bem-sucedida pode permitir que o invasor recarregue o dispositivo, resultando em
uma condição DoS.
O software Cisco IOS XE será afetado somente se o dispositivo estiver configurado com o recurso
Telnet persistente.
Solicitação: 1375691 Revisão: 14 Pág.: 14 de 15
PLANO DE IMPLEMENTAÇÃO
Cisco IOS XE Software Web UI Remote
Code Execution Vulnerability
Cisco IOS and IOS XE Software FXO
Interface Destination Pattern Bypass
Vulnerability
Cisco IOS XE Software Digital Signature
Verification Bypass Vulnerability
Cisco IOS XE Software Web UI Command
Injection Vulnerability
Vigência:12/12/2017
Código: FO.GMD.040
Uma exploração bem-sucedida pode permitir que o invasor execute código arbitrário com privilégios
de root ou ignore os requisitos de licenciamento do dispositivo.
Uma exploração bem-sucedida poderia permitir que o invasor conduzisse fraudes tarifárias,
resultando em impacto financeiro inesperado para os clientes afetados.
Uma exploração bem-sucedida pode permitir que o invasor instale e inicialize uma imagem de
software mal-intencionada ou execute binários não assinados no dispositivo alvo.
Uma exploração bem-sucedida pode permitir que um invasor execute comandos arbitrários com
privilégios administrativos em um dispositivo afetado.
Solicitação: 1375691 Revisão: 14 Pág.: 15 de 15