30 sep. 2020

Cisco soluciona dos vulnerabilidades explotadadas en routers

Cisco acaba de publicar la solución para dos vulnerabilidades de DoS de agotamiento de memoria de alta gravedad y explotadas activamente que se encuentran en el software IOS XR que se ejecuta en varios routers de nivel de operador.

El SO de red Cisco IOS XR se implementa en varias plataformas de routers, incluidos los enrutadores de las series NCS 540 y 560, NCS 5500, 8000 y ASR 9000. Cisco advirtió a los clientes el 29 de agosto sobre los ataques en curso dirigidos a routers de nivel de operador que ejecutan versiones vulnerables del software Cisco IOS XR.

Las dos fallas de seguridad de denegación de servicio (DoS), identificadas como CVE-2020-3566 y CVE-2020-3569, existen en la función del Protocolo de enrutamiento de multidifusión vectorial a distancia (DVMRP) del software IOS XR. Afectan a cualquier dispositivo Cisco que ejecute cualquier versión del software Cisco IOS XR si una de las interfaces activas está configurada en enrutamiento de multidifusión.

El protocolo DVMRP del software se veía afectado en el caso de tener alguna de las interfaces activas configurada en multicast. Ambas vulnerabilidades son reconocidas como CVE-2020-3566 y CVE-2020-3569.

En caso de tener dispositivos vulnerables que no puedan aplicar directamente los parches, Cisco recomienda implementar un ACE al acceso de una ACL existente. También se podría mitigar creando una nueva ACL que deniegue el tráfico DVRMP entrante en el caso de tener habilitado el routing multicast.

Los atacantes remotos y no autenticados que los explotan con éxito mediante el envío de tráfico IGMP diseñado pueden agotar la memoria de los enrutadores objetivo.

Si bien en el momento en que reveló los ataques, Cisco solo proporcionó a los clientes medidas de mitigación para bloquear los intentos de explotación, la compañía ahora lanzó actualizaciones de mantenimiento de software (SMU) gratuitas para abordar las dos vulnerabilidades.

La tabla incluida a continuación contiene información sobre las correcciones que se deben implementar para cada una de las dos fallas de seguridad en los enrutadores afectados.

Para saber si el enrutamiento de multidifusión está habilitado en un dispositivo que lo expone a posibles ataques, los administradores pueden ejecutar el comando show igmp interface.

Para los enrutadores IOS XR donde la función de enrutamiento de multidifusión no está habilitada, la salida del comando estará vacía y los dispositivos no se verán afectados por las dos fallas. Otra recomendación sería deshabilitar el routing IGMP en las interfaces que no necesiten su uso.

Fuente: BC

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!