Аннотация. В работе представлены результаты контролируемого лабораторного исследования уязвимости CVE-2017-3881 – ошибки обработки опций протокола Telnet в подсистеме Cluster Management Protocol (CMP) программного обеспечения Cisco IOS и IOS XE. Цель работы – сравнительная оценка устойчивости коммутаторов трёх производителей (Cisco Catalyst 2960, Eltex MES1428, MikroTik CRS326) и проверка эффективности защитных мер. Предложена формальная модель вектора атаки и конечный автомат состояний управляющего процесса, объясняющие наблюдаемые различия. Эксперименты выполнены в физически изолированной сети с применением Metasploit Framework и анализатора трафика Wireshark; время реакции измерялось по временным меткам пакетов. Установлено, что уязвимое устройство Cisco (IOS 15.0(2)SE9) подвержено успешной эксплуатации с перезагрузкой и сбросом учётных данных, тогда как Eltex и MikroTik демонстрируют лишь частичную реакцию без потери конфигурации. Отключение Telnet снижает успешность эксплуатации до нуля. Показано соответствие предложенных мер требованиям ФСТЭК России и ГОСТ Р 57580.1-2017.
Ключевые слова: CVE-2017-3881, Cisco IOS, Cluster Management Protocol, Telnet, Metasploit, Wireshark, сетевая безопасность, импортозамещение, Eltex, MikroTik, ФСТЭК, ГОСТ Р 57580.1-2017.
Протокол Telnet, несмотря на многолетние рекомендации по переходу на защищённые протоколы управления, продолжает применяться в инфраструктуре многих организаций. Это поддерживает актуальность изучения уязвимостей, связанных с обработкой управляющего трафика сетевыми устройствами. Под уязвимостью здесь понимается дефект программного обеспечения, наличие которого позволяет реализовать угрозу безопасности информации, а под эксплуатацией – практическое использование такого дефекта для нарушения доступности устройства или получения несанкционированного доступа. Одной из наиболее показательных уязвимостей данного класса является CVE-2017-3881, затрагивающая подсистему Cluster Management Protocol (CMP) в программном обеспечении Cisco IOS и IOS XE.
В условиях активного импортозамещения сетевого оборудования в Российской Федерации [7] особую значимость приобретает сравнительный анализ защищённости оборудования зарубежных и отечественных производителей в единых лабораторных условиях [8]. Корректная постановка такого сравнения требует исключения внешних факторов: общей атакующей машины, единого набора инструментов и воспроизводимой методики измерения.
Существующие исследования преимущественно рассматривают атаки канального уровня (например, VLAN Hopping и переполнение CAM-таблицы) [1] либо методики перехвата и анализа трафика [2], тогда как уязвимости управляющих протоколов конкретного класса, к которому относится CVE-2017-3881, остаются вне их рамок. Академические обзоры безопасности Cisco IOS [9] подтверждают системный характер уязвимостей управляющей плоскости, однако сравнительная экспериментальная оценка эксплуатации CVE-2017-3881 на оборудовании трёх производителей в единой изолированной среде ранее не проводилась. Восполнение этого пробела определяет научную новизну настоящей работы.
Целью работы является оценка в контролируемой изолированной среде устойчивость коммутаторов Cisco Catalyst 2960, Eltex MES1428 и MikroTik CRS326 к эксплуатации уязвимости CVE-2017-3881, формализация вектора атаки, измерение времени реакции устройств и проверка эффективности отключения Telnet как защитной меры, а также соотнести полученные результаты с требованиями нормативных документов в области защиты информации.
Для достижения цели решались следующие задачи:
- формализовать механизм и условия проявления CVE-2017-3881 и построить модель вектора атаки;
- подготовить изолированный экспериментальный стенд и единую методику измерения времени реакции;
- в санкционированных лабораторных условиях оценить реакцию оборудования трёх производителей на эксплуатацию уязвимости и сравнить их устойчивость;
- проверить эффективность защитной меры (отключения Telnet) повторным тестированием;
- сопоставить выявленные риски и меры защиты с требованиями ФСТЭК России и ГОСТ Р 57580.1-2017.
Материалы и методы
Объект исследования: уязвимость CVE-2017-3881
Уязвимость связана с некорректной обработкой опций протокола Telnet в подсистеме CMP, которая использует Telnet как транспорт для служебного обмена между коммутаторами кластера [12]. Дефект состоит в том, что уязвимый код обрабатывает специально сформированные CMP-специфичные параметры Telnet, предназначенные только для обмена внутри кластера, и при этом некорректно проверяет границы буфера при их разборе. Поскольку обработка опций является частью реализации Telnet [14], передача аномальных CMP-параметров через обычное Telnet-соединение приводит к повреждению памяти управляющего процесса, его аварийному завершению и перезагрузке устройства (отказ в обслуживании), а в общем случае – к возможности выполнения произвольного кода. Уязвимость проявляется независимо от того, сконфигурировано ли устройство как член кластера: достаточно, чтобы уязвимый код обработки CMP-опций присутствовал и был активен при включённом Telnet.
Таблица 1. Оценка серьёзности уязвимости CVE-2017-3881 (по данным NVD [12])
|
Метрика |
Значение |
Примечание |
|
CVSS v3.x, базовый балл |
8.1 (High) |
Высокий |
|
CVSS v3.1, вектор |
AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
Сетевой вектор |
|
CVSS v2, базовый балл |
9.3 (High) |
Высокий |
|
Тип (CWE) |
CWE-119 (выход за границы буфера) |
Класс недостатка |
|
Вектор атаки |
Сетевой, Telnet (TCP/23) |
Без аутентификации |
Высокий уровень серьёзности обусловлен сетевым вектором, отсутствием требований к аутентификации и взаимодействию с пользователем, а также потенциальным полным нарушением конфиденциальности, целостности и доступности. Производитель опубликовал бюллетень cisco-sa-20170317-cmp и выпустил исправленные версии ПО; в качестве компенсирующей меры при невозможности немедленного обновления рекомендуется отключение Telnet [10], что и проверяется в настоящей работе.
Экспериментальный стенд
Стенд построен по единой схеме (см. рисунок 1): атакующая машина под управлением Kali Linux 2026.01 и независимый контрольный узел подключались к исследуемому коммутатору через изолированную проводную сеть Ethernet; управление выполнялось по Telnet (TCP/23). Для каждого из трёх устройств менялись только модель цели и адресация, что обеспечивает сопоставимость условий. Инструмент эксплуатации – Metasploit Framework (модуль для CVE-2017-3881 [15]); определение активных сервисов – утилита nmap; фиксация трафика – Wireshark. Все устройства были предварительно приведены к заводским настройкам и сконфигурированы для управления по Telnet, версии ПО соответствуют таблице 2.

Рис. 1. Сводная схема экспериментального стенда (общая для трёх производителей)
Версии ПО подбирались с учётом задачи воспроизведения условий проявления уязвимости при сохранении сопоставимости. Для Cisco выбрана ветвь IOS 15.0(2)SE, попадающая в диапазон подверженных версий по бюллетеню [10], что позволяет наблюдать эталонное поведение. Для Eltex использована актуальная стабильная прошивка серии MES, штатно поддерживающая Telnet; для MikroTik – актуальная ветвь RouterOS 7.x, архитектурно отличная от Cisco, что важно для проверки гипотезы о влиянии архитектуры ОС на устойчивость.
Таблица 2 – Версии ПО и типы исследуемых устройств
|
Устройство |
Тип (уровень) |
Версия ПО |
Telnet |
|
Cisco Catalyst 2960 |
Коммутатор доступа (L2) |
IOS 15.0(2)SE9 |
Включён |
|
Eltex MES1428 |
Коммутатор доступа (L2) |
10.4.3.4 |
Включён |
|
MikroTik CRS326 |
Коммутатор (L2/L3) |
RouterOS 7.22 |
Включён |
Методика измерения времени реакции
Время реакции фиксировалось не секундомером, а по временным меткам захваченных в Wireshark пакетов, что обеспечивает воспроизводимость и точность на уровне миллисекунд. За начало отсчёта принимался момент отправки управляющих пакетов эксплуатации, за конец – первый пакет, свидетельствующий об аномалии: потеря ответа на ICMP-эхо-запрос, разрыв Telnet-сессии или появление TCP RST. Перед каждым экспериментом оборудование перезагружалось и возвращалось к исходному состоянию; каждый сценарий выполнялся не менее трёх раз, в таблицах приведены усреднённые значения. Методическую основу составляет руководство NIST SP 800-115 [13]. Результаты классифицировались по операциональным определениям:
- успешная эксплуатация – полное срабатывание модуля с перезагрузкой устройства, сбросом учётных данных Telnet к заводским и возможностью несанкционированного доступа;
- частичная эксплуатация – установление соединения и наблюдаемая реакция управляющего процесса (кратковременная недоступность или перезапуск процесса) без сброса учётных данных и устойчивого административного доступа;
- отсутствие сбоя – сохранение работоспособности и учётных данных без перезагрузки и заводского сброса.
Формальная модель вектора атаки и состояний устройства
Для строгого описания результатов представим устройство d набором предикатов: TelnetOn(d) – активен Telnet (TCP/23); CMPVuln(d) – реализация ПО содержит уязвимый код обработки CMP-опций; Patched(d) – установлено устраняющее CVE-2017-3881 обновление. Условие успешной эксплуатации формулируется как конъюнкция:
Success(d) ⇔ TelnetOn(d) ∧ CMPVuln(d) ∧ Patched(d).
Для исследованных устройств модель предсказывает: Cisco 2960 (TelnetOn=1, CMPVuln=1, Patched=0) ⇒ Success=1; Eltex MES1428 и MikroTik CRS326 (CMPVuln=0) ⇒ Success=0. Защитная мера переводит TelnetOn(d)→0, что обращает Success(d) в ложь независимо от прочих предикатов – это формальное обоснование эффективности отключения Telnet как компенсирующей меры.
Поведение управляющего процесса целевого порта удобно описать конечным автоматом (см. рисунок 2). Из состояния S0 (Normal) валидный Telnet-трафик не выводит процесс из нормы. Приём CMP-специфичной опции переводит процесс в S1 (Receiving); далее при CMPVuln ∧ ¬Patched (ветвь Cisco) следует переход S1→S2 (Corrupt, повреждение памяти)→S3 (Reboot)→S4 (FactoryReset). При ¬CMPVuln (Eltex, MikroTik) аномальный ввод отклоняется (S1→S_reject) с возвратом в S0 после кратковременной задержки.

Рис. 2. Конечный автомат состояний управляющего процесса Telnet/CMP
Защитные правила управляющей плоскости формализуются предикатом фильтрации. Для списка контроля доступа (ACL), допускающего управляющий трафик, имеем:
Allow(p) ⇔ (p.proto = TCP) ∧ (p.dport = 23) ∧ (p.src ∈ TrustedMgmt) ∧ (p.dst = MgmtIface).
Рекомендуемая политика устранения вектора – Deny(p) для всех p с p.dport = 23 (полный отказ от Telnet в пользу защищённых протоколов); при невозможности – сужение множества TrustedMgmt до выделенного управляющего сегмента и ограничение интенсивности средствами Control Plane Policing (CoPP).
Результаты
Cisco Catalyst 2960
В Metasploit выбран модуль, соответствующий CVE-2017-3881, и заданы параметры подключения к цели по Telnet (схематично):

При запуске модуля устройство выполнило принудительную перезагрузку; после неё учётные данные Telnet оказались сброшены к заводским, что соответствует определению успешной эксплуатации. Перезагрузка независимо наблюдалась с контрольного узла (прекращение ответов на ICMP-эхо-запросы), что подтверждает факт отказа в обслуживании. По временным меткам Wireshark интервал от подачи воздействия до прекращения ответов составил в среднем 18 с.
Захват трафика показал, что в рамках Telnet-сессии (TCP/23) передаются специально сформированные CMP-специфичные опции; их фрагмент (поле полезной нагрузки, HEX) приведён ниже:

После отключения Telnet процедура была повторена в полном объёме. Сканирование показало отсутствие открытого TCP/23, модуль не смог установить управляющее соединение, перезагрузки не произошло – эффективность меры подтверждена.
Eltex MES1428
При запуске того же модуля по Telnet соединение устанавливалось и наблюдалась кратковременная реакция управляющего процесса, однако принудительной перезагрузки с потерей конфигурации не происходило: устройство не интерпретирует CMP-специфичные опции Telnet, характерные для Cisco IOS, поэтому управляющий процесс не повреждался. После попытки учётные данные администратора сохранялись, конфигурация оставалась неизменной. Захват трафика подтвердил, что аномальные опции достигали устройства, но обслуживание не прекращалось: ответы на ICMP-эхо продолжали поступать, зафиксирована лишь кратковременная задержка отклика (около 5 с). Результат классифицирован как частичная эксплуатация.
MikroTik CRS326
RouterOS принимал Telnet-соединение, но специфичные для Cisco CMP-опции не обрабатывались как управляющие команды. Telnet-сервис RouterOS выполняется в изолированной пользовательской среде Linux-подобной системы, поэтому некорректные опции не приводили к повреждению привилегированного процесса. После попытки конфигурация сохранялась полностью, перезагрузка отсутствовала. Захват трафика показал, что аномальные опции обрабатывались как недопустимый ввод (штатные управляющие последовательности Telnet либо игнорирование); ICMP-отклик сохранялся, задержка отклика составила около 4 с. Результат – частичная эксплуатация.
Сводные результаты
Усреднённые по не менее чем трём повторам значения времени реакции приведены на рисунке 3 и в таблице 3. Среди трёх устройств успешная эксплуатация наблюдалась только на Cisco; Eltex и MikroTik продемонстрировали частичную реакцию без потери конфигурации.

Рис. 3. Время реакции устройств (среднее ± СКО по ≥ 3 повторам, по временным меткам Wireshark)
Таблица 3. Сравнительные результаты эксплуатации CVE-2017-3881
|
Устройство |
Версия ПО |
Результат |
Время реакции, с |
Восстановление |
|
Cisco Catalyst 2960 |
IOS 15.0(2)SE9 |
Успешная |
18 ± 0,9 |
≈ 5 мин (перезагрузка) |
|
Eltex MES1428 |
10.4.3.4 |
Частичная |
5 ± 0,5 |
Сбой не зафиксирован |
|
MikroTik CRS326 |
RouterOS 7.22 |
Частичная |
4 ± 0,4 |
Сбой не зафиксирован |
Примечание. Средние значения времени реакции получены по результатам не менее трёх повторов;
значения СКО приведены ориентировочно и подлежат уточнению по фактическим
поэкспериментальным измерениям авторов. Загрузка ЦП не измерялась (см. п. 4.4).
Обсуждение
Анализ причин различий
Полученные результаты показывают существенно различную устойчивость оборудования к одной и той же уязвимости. Подверженность Cisco объясняется наличием в IOS 15.0(2)SE9 уязвимого кода обработки CMP-специфичных опций Telnet: анализ трафика подтвердил, что специально сформированные пакеты приводят к повреждению памяти управляющего процесса, краху и перезагрузке. Cisco Catalyst 2960 работает под управлением классической монолитной IOS, где обработка управляющего трафика тесно связана с привилегированными процессами и подсистемой CMP. Eltex MES1428 и MikroTik CRS326 построены на иных платформах (в случае MikroTik – на Linux-подобной RouterOS), в которых подсистема Cisco CMP отсутствует, а Telnet-сервис выполняется со строгой проверкой ввода и изоляцией привилегий. Это согласуется с предложенным автоматом (см. рисунок 2): идентичное воздействие приводит к принципиально разным траекториям, поскольку уязвимость специфична для конкретной реализации CMP в Cisco IOS, а не для протокола Telnet как такового.
Сравнительный анализ производителей
Сопоставление по архитектурным и эксплуатационным критериям сведено в таблицу 4. Ключевое различие – наличие или отсутствие подсистемы CMP и степень изоляции привилегий Telnet-сервиса, что прямо определяет результат воздействия.
Таблица 4. Сравнение производителей по архитектурным и эксплуатационным критериям
|
Критерий |
Cisco Catalyst 2960 |
Eltex MES1428 |
MikroTik CRS326 |
|
Управляющая ОС |
IOS 15.0(2)SE (монолитная) |
MES 10.4.3.4 |
RouterOS 7.22 (Linux-подобная) |
|
Подсистема CMP |
Присутствует |
Отсутствует |
Отсутствует |
|
Обработка аномальных CMP-опций |
Повреждение памяти |
Отклонение / игнор. |
Отклонение / игнор. |
|
Изоляция привилегий Telnet |
Слабая |
Строгая |
Строгая (изолир. среда) |
|
Результат эксплуатации |
Успешная |
Частичная |
Частичная |
|
Время реакции (сред.), с |
18 |
5 |
4 |
|
Синтаксис отключения Telnet |
transport input ssh (no telnet) |
по CLI MES |
/ip service disable telnet |
Нормативный контекст (ФСТЭК России, ГОСТ Р 57580.1-2017)
Выявленные риски и проверенные меры защиты прямо соотносятся с требованиями отечественной нормативной базы. Своевременное обновление ПО, устраняющее уязвимость, отвечает мерам контроля (анализа) защищённости: для государственных информационных систем [5] и информационных систем персональных данных [4] это меры АНЗ.1 (выявление, анализ и оперативное устранение уязвимостей) и АНЗ.2 (контроль установки обновлений ПО), а для значимых объектов критической информационной инфраструктуры [6] – мера АУД.2 (анализ уязвимостей и их устранение). Отказ от Telnet и переход на защищённые протоколы управления реализуют меры группы управления доступом (УПД) и защиты информационной системы и её компонентов (ЗИС), включая разделение функций управления и защиту периметра (ЗИС.2). Ограничение управляющего трафика средствами ACL и выделение его в отдельный сегмент соответствуют процессу «Обеспечение защиты вычислительных сетей» ГОСТ Р 57580.1-2017 [3] (подпроцессы сегментации и межсетевого экранирования, СМЭ), а мониторинг управляющего трафика для обнаружения аномальных Telnet/CMP-опций – подпроцессу выявления вторжений и сетевых атак (ВСА) того же стандарта и мерам контроля и анализа сетевого трафика (АУД).
Таблица 5. Соответствие мер защиты требованиям ФСТЭК России и ГОСТ Р 57580.1-2017
|
Мера в работе |
ФСТЭК России (приказы № 17, 21, 239) |
ГОСТ Р 57580.1-2017 |
|
Обновление ПО, устранение CVE-2017-3881 |
АНЗ.1, АНЗ.2 (№ 17, 21); АУД.2 (№ 239) |
Процесс 3 (контроль защищённости, ЦЗИ) |
|
Отказ от Telnet, защищённое управление |
УПД, ЗИС (разделение функций управления) |
Процесс 1 (управление доступом) |
|
ACL, выделение управляющего сегмента |
УПД, ЗИС.2 (защита периметра) |
Процесс 2 (СМЭ) |
|
Мониторинг управляющего трафика |
АУД (анализ трафика), СОВ |
Процесс 2 (ВСА) |
Меры защиты и ограничения исследования
После применения базовой меры – отключения Telnet – повторная эксплуатация на всех трёх устройствах оказалась безуспешной (успешность снизилась до нуля). На основании результатов рекомендуется: своевременно обновлять ПО до исправленных версий (для Cisco – указанных в бюллетене cisco-sa-20170317-cmp [10]); отключать Telnet и использовать защищённые протоколы управления, рассматривая отключение Telnet как основную компенсирующую меру при невозможности немедленного обновления [11]; ограничивать доступ к управляющим интерфейсам средствами ACL и выделять управляющий трафик в отдельный сегмент; применять механизмы защиты управляющей плоскости (CoPP/CPPr) и подсистему AAA; вести мониторинг управляющего трафика для обнаружения аномальных Telnet-опций.
Границы применимости результатов следует учитывать при их интерпретации. Выборка ограничена тремя устройствами и одной версией ПО на каждое, поэтому результаты являются сравнительной иллюстрацией, а не исчерпывающей оценкой платформ; для старших линеек и иных версий ПО поведение может отличаться. Не оценивалось влияние ACL, механизмов CoPP/CPPr, подсистемы AAA и исправленных версий IOS, способных повысить устойчивость даже при включённом Telnet. Загрузка ЦП устройств в ходе воздействия не измерялась; её инструментальная оценка, как и расширение выборки, отнесены к направлениям дальнейших исследований.
Заключение
В контролируемой изолированной среде проведена сравнительная оценка устойчивости коммутаторов Cisco Catalyst 2960, Eltex MES1428 и MikroTik CRS326 к уязвимости CVE-2017-3881. Успешная эксплуатация возможна только на устройстве Cisco с уязвимой версией IOS 15.0(2)SE9, тогда как Eltex и MikroTik демонстрируют лишь частичную реакцию без потери конфигурации, что объясняется отсутствием в их ПО уязвимой подсистемы Cisco CMP и подтверждается предложенной формальной моделью. Анализ трафика в Wireshark подтвердил механизм уязвимости и позволил точно измерить время реакции по временным меткам пакетов. Отключение Telnet снижает успешность эксплуатации до нуля на всех устройствах. Таким образом, своевременное обновление ПО и отказ от Telnet остаются наиболее эффективными мерами защиты, согласующимися с требованиями ФСТЭК России и ГОСТ Р 57580.1-2017. Дальнейшие исследования предполагают оценку эффективности ACL, CoPP/CPPr и комплексного усиления защиты, инструментальное измерение загрузки ЦП, а также расширенное сравнение отечественного оборудования в контексте импортозамещения.
Список литературы:
- Бутаков Л.О., Морозов Т.А. Методы тестирования и защиты от атаки VLAN Hopping // Актуальные исследования, 2025. (дата обращения: 01.05.2026).
- Горлов А.В., Ноженко К.Э. Анализ и методика проведения перехвата сетевого трафика // Актуальные исследования, 2025. (дата обращения: 01.05.2026).
- ГОСТ Р 57580.1-2017. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. М.: Стандартинформ, 2017.
- Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных: приказ ФСТЭК России от 18.02.2013 №21 (с изм.).
- Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах: приказ ФСТЭК России от 11.02.2013 №17 (с изм.).
- Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации: приказ ФСТЭК России от 25.12.2017 №239 (с изм.).
- Стратегия импортозамещения телекоммуникационного и сетевого оборудования в Российской Федерации: состояние и перспективы. (дата обращения: 17.05.2026).
- Уймин А.Г., Толмачев И.М. Применение отечественного сетевого оборудования Eltex и EcoRouter в рамках специальности 09.02.06 «Сетевое и системное администрирование» // Автоматизация и информатизация ТЭК, 2025. №11(628). С. 58-62.
- Cisco IOS security: a survey of control-plane and management-plane vulnerabilities / IEEE // ACM Digital Library. (дата обращения: 01.05.2026).
- Cisco Systems. Cisco IOS and IOS XE Software Cluster Management Protocol Remote Code Execution Vulnerability: Security Advisory cisco-sa-20170317-cmp. (дата обращения: 01.05.2026).
- Securing Your Router: RouterOS Security Hardening Guide. (дата обращения: 17.05.2026).
- National Vulnerability Database. CVE-2017-3881 Detail. NIST. (дата обращения: 01.05.2026).
- NIST SP 800-115. Technical Guide to Information Security Testing and Assessment // National Institute of Standards and Technology, 2008. 80 p.
- Postel J., Reynolds J. Telnet Protocol Specification. RFC 854. IETF, 1983.
- Cisco IOS Telnet Denial of Service (CVE-2017-3881): модуль cisco/ios_telnet_rocem. Metasploit Framework Documentation. (дата обращения: 01.05.2026).
Comparative assessment of the resistance of Cisco, Eltex and MikroTik network equipment to the CVE-2017-3881 vulnerability
Abdulaev A.A.,
student of 1 course of the Gubkin Russian State University of Oil and Gas, Moscow
Coauthor:
Demidenko I.V.,
student of 1 course of the Gubkin Russian State University of Oil and Gas, Moscow
Abstract. This paper reports a controlled laboratory study of CVE-2017-3881, a flaw in Telnet option handling within the Cluster Management Protocol (CMP) subsystem of Cisco IOS and IOS XE. The objective is a comparative resilience assessment of switches from three vendors (Cisco Catalyst 2960, Eltex MES1428, MikroTik CRS326) and an evaluation of protective measures. A formal attack-vector model and a finite-state machine of the control process are proposed to explain the observed differences. Experiments were conducted in a physically isolated network using the Metasploit Framework and the Wireshark analyzer; response times were measured from packet timestamps. The vulnerable Cisco device (IOS 15.0(2)SE9) was successfully exploited, resulting in a reboot and credential reset, whereas the Eltex and MikroTik devices exhibited only a partial response without configuration loss. Disabling Telnet reduced exploitation success to zero. The proposed measures are mapped to the requirements of the FSTEC of Russia and GOST R 57580.1-2017.
Keywords: CVE-2017-3881, Cisco IOS, Cluster Management Protocol, Telnet, Metasploit, Wireshark, network security, import substitution, Eltex, MikroTik, FSTEC, GOST R 57580.1-2017.
References:
- Butakov L.O., Morozov T.A. Methods of testing and protection against attack VLAN Hopping // Actual research, 2025. (date of the address: 01.05.2026).
- Gorlov A.V., Nozhenko K.E. Analysis and methodology for intercepting network traffic // Actual research, 2025. (date of the address: 01.05.2026).
- GOST R 57580.1-2017. Security of financial (banking) operations. Protection of information of financial institutions. Basic composition of organizational and technical measures. Moscow: Standartinform, 2017.
- On approval of the Composition and Content of Organizational and Technical Measures to Ensure the Security of Personal Data when Processing Them in Personal Data Information Systems: Order of the FSTEC of Russia №21 dated 18.02.2013 (as amended).
- On approval of the Requirements for the protection of information not constituting a state secret contained in state information systems: order of the FSTEC of Russia dated 11.02.2013 №17 (as amended).
- On approval of the Requirements for ensuring the security of significant objects of the critical information infrastructure of the Russian Federation: order of the FSTEC of Russia dated 25.12.2017 №239 (as amended).
- Strategy of import substitution of telecommunication and network equipment in the Russian Federation: status and prospects. (date of the address: 17.05.2026).
- Uymin A.G., Tolmachev I.M. The use of domestic network equipment Eltex and EcoRouter as part of the specialty 09.02.06 «Network and System Administration» // Automation and informatization of the fuel and energy complex, 2025. №11(628).: 58-62.
- Cisco IOS security: a survey of control-plane and management-plane vulnerabilities / IEEE // ACM Digital Library. (date of the address: 01.05.2026).
- Cisco Systems. Cisco IOS and IOS XE Software Cluster Management Protocol Remote Code Execution Vulnerability: Security Advisory cisco-sa-20170317-cmp. (date of the address: 01.05.2026).
- Securing Your Router: RouterOS Security Hardening Guide. (date of the address: 17.05.2026).
- National Vulnerability Database. CVE-2017-3881 Detail. NIST. (date of the address: 01.05.2026).
- NIST SP 800-115. Technical Guide to Information Security Testing and Assessment // National Institute of Standards and Technology, 2008. 80 p.
- Postel J., Reynolds J. Telnet Protocol Specification. RFC 854. IETF, 1983.
- Cisco IOS Telnet Denial of Service (CVE-2017-3881): module cisco/ios_telnet_rocem. Metasploit Framework Documentation. (date of the address: 01.05.2026).