В Cisco предупредили об уязвимостях «нулевого дня» в IOS XR

Cisco предупредила о найденных уязвимостях «нулевого дня» в операционной системе IOS, устанавливаемой на сетевом оборудовании Cisco. Уязвимости, получившие обозначения CVE-2020-3566 и CVE-2020-3569, затрагивают протокол маршрутизации DVMRP (Distance Vector Multicast Routing Protocol) в версии IOS XR, которая обычно присутствует в маршрутизаторах операторского класса и оборудовании для центров обработки данных.

Как пояснили в Cisco, многочисленные баги в протоколе DVMRP позволяют неавторизованному удаленному злоумышленнику обрушить IGMP (Internet Group Management Protocol) или спровоцировать истощение доступной памяти, что может привести к сбоям других запущенных на устройстве процессов.

«Уязвимости вызваны недостаточно эффективным управлением очередью пакетов протокола IGMP. Злоумышленник может воспользоваться этой проблемой, отправив специально сгенерированный IGMP-трафик на уязвимое устройство. Успешная атака может вызвать истощение памяти, что приведет к нестабильности других процессов на устройстве, в том числе протоколов внутренней и внешней маршрутизации», — заявили в Cisco.

Проблема усугубляется тем, что уязвимостями уже пользуются. Как рассказали в компании, о багах стало известно в конце августа при расследовании обращения в службу поддержки Cisco, к которому привлекались сотрудники компании.

«28 августа 2020 года группе реагирования на инциденты, связанные с безопасностью продуктов Cisco (PSIRT) стало известно о попытке эксплуатации уязвимостей на практике», — сообщается в разделе Cisco Security Advisory, где компания публикует информацию о проблемах безопасности и способах их устранения.

В настоящее время компания разрабатывает обновление к IOS XR, которое ликвидирует бреши. В Cisco отметили, что уязвимостям подвержены все устройства с программным обеспечением Cisco IOS XR, если активный интерфейс в них сконфигурирован под под multicast routing и получает трафик DVMRP.

До выхода патчей в компании предложили несколько обходных путей и средств защиты, которые не позволят злоумышленникам воспользоваться уязвимостями при попытке атаки. Также в Cisco предоставили дополнительные инструкции по реагированию на инциденты, с помощью которых компании могут изучить свои логи и выяснять, предпринимались ли попытки атаки с использованием уязвимостей CVE-2020-3566 и CVE-2020-3569.