Cisco alerta sobre bug explorado ativamente em roteadores de nível de operadora
A Cisco alertou no fim de semana que os agentes de ameaças estão tentando explorar uma vulnerabilidade de negação de serviço (DoS) de exaustão de memória de alta gravidade no software Cisco IOS XR da empresa que é executado em roteadores de nível de operadora.
O IOS XR Network OS da Cisco é implantado em várias plataformas de roteador, incluindo os roteadores NCS 540 e 560, NCS 5500, 8000 e ASR 9000 Series.
A Cisco ainda não lançou atualizações de software para resolver essa falha de segurança explorada ativamente, mas a empresa oferece atenuação em um comunicado de segurança publicado no fim de semana.
“Em 28 de agosto de 2020, a Equipe de resposta a incidentes de segurança de produtos da Cisco (PSIRT) tomou conhecimento da tentativa de exploração dessa vulnerabilidade”, explica a Cisco .
“Para produtos afetados, a Cisco recomenda a implementação de uma mitigação que seja apropriada para o ambiente do cliente.”
Afeta todos os roteadores Cisco IOS XR (se o roteamento multicast estiver habilitado)
O bug CVE-2020-3566 existe no recurso Distance Vector Multicast Routing Protocol (DVMRP) do software IOS XR e pode permitir que atacantes remotos e não autenticados esgotem a memória do dispositivo alvo.
“A vulnerabilidade se deve ao gerenciamento de fila insuficiente para pacotes IGMP (Internet Group Management Protocol)”, explica o comunicado de segurança.
“Um invasor pode explorar esta vulnerabilidade enviando tráfego IGMP elaborado para um dispositivo afetado. Uma exploração bem-sucedida pode permitir que o invasor cause o esgotamento da memória, resultando na instabilidade de outros processos.
“Esses processos podem incluir, mas não estão limitados a, protocolos de roteamento interno e externo.”
De acordo com a Cisco, a falha de segurança rastreada como CVE-2020-3566 afeta qualquer dispositivo Cisco executando qualquer versão do Cisco IOS XR Software se uma de suas interfaces ativas estiver configurada no roteamento multicast.
Para determinar se o roteamento multicast está habilitado em um dispositivo, os administradores podem executar o comando show igmp interface . Para roteadores IOS XR nos quais o roteamento multicast não está habilitado, a saída ficará vazia e os dispositivos não serão afetados pelo CVE-2020-3566.
Em dispositivos onde esta vulnerabilidade foi usada para esgotar a memória, os administradores podem ver mensagens de registro do sistema semelhantes às da captura de tela incorporada abaixo.
Medidas de mitigação
A Cisco diz que os administradores podem tomar medidas para remover parcial ou totalmente o vetor de exploração que os agentes de ameaça podem usar em ataques direcionados a dispositivos vulneráveis contra explorações CVE-2020-3566.
Os administradores podem implementar a limitação de taxa para reduzir as taxas de tráfego IGMP e aumentar o tempo necessário para explorar com sucesso o CVE-2020-3566, tempo que pode ser usado para recuperação.
Os clientes também podem “implementar uma entrada de controle de acesso (ACE) para uma lista de controle de acesso de interface (ACL) existente” ou uma nova ACL para negar o tráfego DVRMP de entrada para interfaces com roteamento multicast habilitado.
A Cisco recomenda desabilitar o roteamento IGMP nas interfaces onde o processamento do tráfego IGMP não é necessário, entrando no modo de configuração do roteador IGMP.
Isso pode ser feito emitindo o comando router igmp , selecionando a interface usando a interface e desativando o roteamento IGMP usando a desativação do roteador .
No mês passado, a Cisco corrigiu outra vulnerabilidade somente leitura de alta gravidade e ativamente explorada, rastreada como CVE-2020-3452, afetando a interface de serviços da Web do software Cisco Adaptive Security Appliance (ASA) e do software Cisco Firepower Threat Defense (FTD).
Uma semana antes, a empresa lançou outro conjunto de atualizações de segurança para abordar a execução de código remoto crítico de pré-autenticação (RCE), desvio de autenticação e vulnerabilidades estáticas de credenciais padrão que afetam vários firewalls e dispositivos de roteador que podem levar à aquisição total do dispositivo .