Cisco a mis en garde contre une vulnérabilité active zero-day dans son logiciel de routeur qui est exploitée et pourrait permettre à un attaquant distant et authentifié de mener des attaques d'épuisement de la mémoire sur un périphérique affecté.
"Un attaquant pourrait exploiter ces vulnérabilités en envoyant du trafic IGMP spécialement conçu à un périphérique affecté", a déclaré Cisco.
"Un exploit réussi pourrait permettre à l'attaquant de provoquer un épuisement de la mémoire, entraînant une instabilité d'autres processus. Ces processus peuvent inclure, mais sans s'y limiter, des protocoles de routage internes et externes."
Bien que la société ait annoncé qu'elle publierait des correctifs logiciels pour remédier à la faille, elle n'a pas partagé de calendrier pour savoir quand elle prévoit de le rendre disponible. Le fabricant d'équipement de réseau a déclaré avoir pris connaissance de tentatives d'exploitation de la faille le 28 août.
Le communiqué CVE-2020-3566 indique que la gravité de la vulnérabilité a été jugée «élevée» avec un score du Common Vulnerability Scoring System de 8,6 sur un maximum de 10.
Le bug affecte tous les équipements Cisco exécutant son logiciel XR du système d'exploitation interréseau (IOS) et découle d'un problème dans la fonction DVMRP (Distance Vector Multicast Routing Protocol) qui permet à un adversaire d'envoyer un protocole IGMP (Internet Group Management Protocol) spécialement conçu. paquets vers le périphérique sensible en question et épuisent la mémoire du processus.
IGMP est généralement utilisé pour utiliser efficacement les ressources pour les applications de multidiffusion lors de la prise en charge de contenu en streaming tel que le streaming vidéo en ligne et les jeux. La faille réside dans la manière dont le logiciel IOS XR met ces paquets en file d'attente, ce qui peut entraîner un épuisement de la mémoire et une interruption d'autres processus.
Bien qu'il n'y ait aucune solution de contournement pour résoudre le problème, Cisco recommande aux administrateurs d'exécuter la commande «show igmp interface» pour déterminer si le routage de multidiffusion est activé.
«Si la sortie de 'show igmp interface' est vide, le routage multicast n'est pas activé et l'appareil n'est pas affecté par ces vulnérabilités», a déclaré la société.
En outre, les administrateurs peuvent également rechercher des signes d'épuisement de la mémoire dans les journaux système et implémenter une limitation de débit pour réduire les taux de trafic IGMP afin d'atténuer le risque.
Cisco n'a pas précisé comment les attaquants exploitaient cette vulnérabilité et dans quel but.
Mais étant donné que les attaques d'épuisement des ressources sont également une forme d'attaques par déni de service, il ne serait pas surprenant que des attaquants exploitent la faille pour interférer avec le fonctionnement régulier du système.
Source : Cisco Security Advisory
