Cisco предупредила о найденных уязвимостях "нулевого дня" в операционной системе IOS, устанавливаемой на сетевом оборудовании Cisco. Уязвимости, получившие обозначения CVE-2020-3566 и CVE-2020-3569, затрагивают протокол маршрутизации DVMRP (Distance Vector Multicast Routing Protocol) в версии IOS XR, которая обычно присутствует в маршрутизаторах операторского класса и оборудовании для центров обработки данных.
Как пояснили в Cisco, многочисленные баги в протоколе DVMRP позволяют неавторизованному удаленному злоумышленнику обрушить IGMP (Internet Group Management Protocol) или спровоцировать истощение доступной памяти, что может привести к сбоям других запущенных на устройстве процессов.
"Уязвимости вызваны недостаточно эффективным управлением очередью пакетов протокола IGMP. Злоумышленник может воспользоваться этой проблемой, отправив специально сгенерированный IGMP-трафик на уязвимое устройство. Успешная атака может вызвать истощение памяти, что приведет к нестабильности других процессов на устройстве, в том числе протоколов внутренней и внешней маршрутизации", - заявили в Cisco.
Проблема усугубляется тем, что уязвимостями уже пользуются. Как рассказали в компании, о багах стало известно в конце августа при расследовании обращения в службу поддержки Cisco, к которому привлекались сотрудники компании.
"28 августа 2020 года группе реагирования на инциденты, связанные с безопасностью продуктов Cisco (PSIRT) стало известно о попытке эксплуатации уязвимостей на практике", - сообщается в разделе Cisco Security Advisory, где компания публикует информацию о проблемах безопасности и способах их устранения.
В настоящее время компания разрабатывает обновление к IOS XR, которое ликвидирует бреши. В Cisco отметили, что уязвимостям подвержены все устройства с программным обеспечением Cisco IOS XR, если активный интерфейс в них сконфигурирован под под multicast routing и получает трафик DVMRP.
До выхода патчей в компании предложили несколько обходных путей и средств защиты, которые не позволят злоумышленникам воспользоваться уязвимостями при попытке атаки. Также в Cisco предоставили дополнительные инструкции по реагированию на инциденты, с помощью которых компании могут изучить свои логи и выяснять, предпринимались ли попытки атаки с использованием уязвимостей CVE-2020-3566 и CVE-2020-3569.
