Vulnerabilidades 8.6 do software Cisco IOS XR DVMRP possibilita DoS

02/09/2020 mindsecblog Notícias 1

Vulnerabilidades 8.6 do software Cisco IOS XR DVMRP possibilita DoS. A Cisco lançou um comunicado de segurança sobre uma vulnerabilidade – CVE-2020-3566 – no recurso DVMRP do software Cisco IOS XR.

A fabricante de roteadores Cisco Systems revelou que na semana passada alguns usuários sofreram ataques por parte de hackers. Os invasores exploraram uma vulnerabilidade zero-day capaz de afetar um recurso presente na versão XR do sistema operacional Internetwork Operating System (IOS), dos equipamentos de rede da companhia.

O caso se enquadra na classificação de dia zero, pois os hackers encontraram a vulnerabilidade, chamada de CVE-2020-3566, antes mesmo que os desenvolvedores. Ela envolve o recurso Distance Vector Multicast Routing Protocol (DVMRP), que porta um bug que dá a um usuário remoto não autenticado permissão para esgotar a memória e travar processos em execução do dispositivo roteador.

A vulnerabilidade afeta os dispositivos Cisco que executam o software IOS XR que têm uma interface ativa configurada no roteamento multicast. “Esta vulnerabilidade afeta qualquer dispositivo Cisco que esteja executando qualquer versão do Cisco IOS XR Software se uma interface ativa for configurada sob roteamento multicast”, diz a empresa.

A vulnerabilidade no recurso DVMRP do Cisco IOS XR Software pode permitir que um invasor remoto não autenticado esgote a memória do processo de um dispositivo afetado. A vulnerabilidade se deve ao gerenciamento de fila insuficiente para pacotes IGMP (Internet Group Management Protocol). Um invasor pode explorar esta vulnerabilidade enviando tráfego IGMP criado para um dispositivo afetado. Uma exploração bem-sucedida pode permitir que o invasor cause o esgotamento da memória, resultando na instabilidade de outros processos. Esses processos podem incluir, mas não estão limitados a, protocolos de roteamento internos e externos. A Cisco lançará atualizações de software que abordam esta vulnerabilidade.

A Cisco explica que os administradores podem usar o comando show igmp interface para determinar se o roteamento multicast está habilitado e o comando show igmp traffic para determinar se o dispositivo está recebendo tráfego DVMRP. “Essa vulnerabilidade resulta em esgotamento da memória, o que pode impactar outros processos no dispositivo. É possível recuperar a memória consumida pelo processo IGMP reiniciando o processo IGMP com o comando process restart igmp ”, observa a empresa.

Soluções Alternativas

Não há soluções alternativas para resolver o problema, mas a Cisco publicou informações sobre várias atenuações que os clientes podem aplicar para permanecer protegidos.

Como primeira linha de defesa, é recomendável que os clientes implementem um limitador de taxa. Isso exigirá que os clientes entendam sua taxa atual de tráfego IGMP e definam uma taxa inferior à taxa média atual. No modo de configuração, o cliente pode inserir o comando lpts pifib hardware police flow igmp rate seguinte maneira:

RP/0/0/CPU0:router(config)# lpts pifib hardware police flow igmp rate <value>

Este comando não removerá o vetor de exploração. No entanto, o comando reduzirá a taxa de tráfego e aumentará o tempo necessário para uma exploração bem-sucedida. O cliente pode usar esse tempo para executar ações de recuperação.

Como uma segunda linha de defesa, um cliente pode implementar uma entrada de controle de acesso (ACE) a uma lista de controle de acesso de interface (ACL) existente. Como alternativa, o cliente pode criar uma nova ACL para uma interface específica que nega a entrada de tráfego DVMRP nessa interface. O exemplo a seguir cria uma ACL e nega o tráfego DVMRP:

RP/0/0/CPU0:router(config)# ipv4 access-list <acl_name> deny igmp any any dvmrp

Rastreada como CVE-2020-3566 , a falha tem uma pontuação CVSS de 8,6. A Cisco revela que os invasores já estão tentando explorar a vulnerabilidade.

A Agência de Segurança Cibernética e Infraestrutura (CISA – Cybersecurity and Infrastructure Security Agency) incentiva os usuários e administradores a revisar o Comunicado de Segurança da Cisco e tomar as seguintes ações.

Implemente as mitigações recomendadas.
Procure indicadores de compromisso.
Aplique a atualização necessária, quando disponível.

Em comunicado, a Cisco declarou que a falha foi identificada no dia 28 de agosto, data na qual a sua equipe de segurança tomou conhecimento dos ataques. A identificação ocorreu durante atendimentos de suporte e reclamações da empresa e tende a afetar justamente a versão do sistema operacional que é mais comum em roteadores de nível de operadora e de data center.

Solução

A Cisco diz que lançará atualizações de software gratuitas que abordam as vulnerabilidades descritas neste comunicado. No entanto a Cisco complementa dizendo que os clientes só podem instalar e esperar suporte para versões de software e conjuntos de recursos para os quais adquiriram uma licença. “Além disso, os clientes só podem baixar software para o qual tenham uma licença válida, adquirida diretamente da Cisco ou por meio de um revendedor ou parceiro autorizado da Cisco. Na maioria dos casos, será uma atualização de manutenção de um software adquirido anteriormente”, diz a empresa.

“Ao considerar atualizações de software , os clientes são aconselhados a consultar regularmente as recomendações para produtos Cisco, que estão disponíveis na página Cisco Security Advisories , para determinar a exposição e uma solução de atualização completa”, complementa.

Em todos os casos, os clientes devem garantir que os dispositivos a serem atualizados contenham memória suficiente e confirmar que as configurações atuais de hardware e software continuarão a ser suportadas adequadamente pela nova versão. Se as informações não estiverem claras, os clientes são aconselhados a entrar em contato com o Cisco Technical Assistance Center (TAC) ou seus fornecedores de manutenção contratados.