Cisco waarschuwt voor actief aangevallen dos-lek in IOS XR-software

[Captain Kirk]

Cisco waarschuwt voor een actief aangevallen kwetsbaarheid in de IOS XR-software waardoor een aanvaller een denial of service (dos) kan veroorzaken en een beveiligingsupdate is nog niet beschikbaar. De IOS XR-software draait op verschillende series routers, waaronder de NCS 540, 560, 5500 en 8000 en ASR 9000. Het gaat om zogenoemde "carrier-grade" routers.

De kwetsbaarheid (CVE-2020-3566) bevindt zich in de Distance Vector Multicast Routing Protocol (DVMRP) feature van de Cisco IOS XR-software. DVMRP is een routeringsprotocol gebruikt voor multicasting over ip-netwerken. Het probleem wordt veroorzaakt door onvoldoende queue management voor Internet Group Management Protocol (IGMP)-pakketten. Door het versturen van speciaal geprepareerd IGMP-verkeer naar een kwetsbare router kan een aanvaller al het geheugen van de machine verbruiken, wat voor problemen bij andere processen van de router kan zorgen. Het gaat dan bijvoorbeeld om routeringsprotocollen.

Cisco laat weten dat het met een beveiligingsupdate zal komen. Op dit moment zijn er geen workarounds voorhanden, wel kunnen organisaties verschillende mitigaties doorvoeren. Zoals het instellen van een rate limiter voor IGMP-verkeer of het aanmaken van een access control list (ACL) die inkomend DVMRP-verkeer voor een bepaalde interface blokkeert. Ook het uitschakelen van IGMP-routering voor interfaces die geen IGMP hoeven te verwerken wordt aangeraden.

 

bron: security.nl