Yaakov's Group | Ciberseguridad

Cisco advierte sobre un error activamente explotado en los routers de nivel de operador

Comparte este post en tus redes sociales

Cisco advirtió durante el fin de semana que los actores de amenazas están tratando de explotar una vulnerabilidad de denegación de servicio (DoS) por agotamiento de la memoria de alta gravedad en el software Cisco IOS XR de la compañía que se ejecuta en enrutadores de nivel de operador.

El sistema operativo de red IOS XR de Cisco se implementa en múltiples plataformas de enrutadores, incluidos los enrutadores de las series NCS 540 y 560, NCS 5500, 8000 y ASR 9000.

Cisco aún no ha publicado actualizaciones de software para abordar esta falla de seguridad explotada activamente, pero la compañía proporciona una mitigación en un aviso de seguridad publicado durante el fin de semana.

«El 28 de agosto de 2020, el equipo de respuesta a incidentes de seguridad de productos de Cisco (PSIRT) se dio cuenta del intento de explotación de esta vulnerabilidad en la naturaleza», explica Cisco.

«Para los productos afectados, Cisco recomienda implementar una mitigación que sea apropiada para el entorno del cliente».

Afecta a todos los routers Cisco IOS XR (si el enrutamiento de multidifusión está habilitado)

El error CVE-2020-3566 existe en la función del Protocolo de enrutamiento de multidifusión de vector de distancia (DVMRP) del software IOS XR y puede permitir que atacantes remotos y no autenticados agoten la memoria del dispositivo objetivo.

«La vulnerabilidad se debe a una gestión de cola insuficiente para los paquetes del Protocolo de gestión de grupos de Internet (IGMP)», explica el aviso de seguridad.

«Un atacante podría aprovechar esta vulnerabilidad enviando tráfico IGMP diseñado a un dispositivo afectado. Un ataque exitoso podría permitir que el atacante agotara la memoria, resultando en inestabilidad de otros procesos.

«Estos procesos pueden incluir, pero no se limitan a, protocolos de enrutamiento interior y exterior».

Según Cisco, la falla de seguridad rastreada como CVE-2020-3566 afecta a cualquier dispositivo Cisco que ejecute cualquier versión del software Cisco IOS XR si una de sus interfaces activas está configurada bajo enrutamiento de multidifusión.

Para determinar si el enrutamiento de multidifusión está habilitado en un dispositivo, los administradores pueden ejecutar el comando show igmp interface. Para los enrutadores IOS XR donde el enrutamiento de multidifusión no está habilitado, la salida estará vacía y los dispositivos no se verán afectados por CVE-2020-3566.

En los dispositivos en los que se utilizó esta vulnerabilidad para agotar la memoria, los administradores pueden ver mensajes de registro del sistema similares a los de la captura de pantalla incluida a continuación.

IOCs

Medidas de atenuación

Cisco dice que los administradores pueden tomar medidas para eliminar parcial o totalmente las amenazas de vectores de exploits que los actores podrían usar en ataques dirigidos a dispositivos vulnerables a exploits CVE-2020-3566.

Los administradores pueden implementar la limitación de velocidad para reducir las tasas de tráfico IGMP y aumentar el tiempo necesario para aprovechar con éxito CVE-2020-3566, tiempo que se puede utilizar para la recuperación.

Los clientes también pueden «implementar una entrada de control de acceso (ACE) a una lista de control de acceso (ACL) de interfaz existente» o una nueva ACL para denegar el tráfico DVRMP entrante a interfaces con enrutamiento de multidifusión habilitado.

Cisco recomienda deshabilitar el enrutamiento IGMP en interfaces donde no es necesario procesar el tráfico IGMP ingresando al modo de configuración del enrutador IGMP.

Esto se puede hacer emitiendo el comando router igmp, seleccionando la interfaz usando la interfaz y deshabilitando el enrutamiento IGMP usando la desactivación del enrutador.

El mes pasado, Cisco solucionó otra vulnerabilidad de alta gravedad y explotó activamente la ruta transversal de solo lectura rastreada como CVE-2020-3452 y que afectó la interfaz de servicios web del software Cisco Adaptive Security Appliance (ASA) y el software Cisco Firepower Threat Defense (FTD).

Una semana antes, la compañía emitió otro conjunto de actualizaciones de seguridad para abordar la ejecución de código remoto crítico (RCE) previo a la autenticación, la omisión de autenticación y las vulnerabilidades de credenciales predeterminadas estáticas que afectan a múltiples dispositivos de firewall y enrutadores que podrían llevar a la toma de control total del dispositivo.

Fuente: bleepingcomputer

Deja un comentario