Cisco advirtió sobre una vulnerabilidad activa de día cero en el software de su enrutador que está siendo explotada y podría permitir que un atacante autenticado remoto lleve a cabo ataques de agotamiento de memoria en un dispositivo afectado.
«Un atacante podría explotar estas vulnerabilidades enviando tráfico IGMP manipulado a un dispositivo afectado», dijo Cisco en un aviso publicado durante el fin de semana.
«Una explotación exitosa podría permitir que el atacante provoque el agotamiento de la memoria, lo que provocaría la inestabilidad de otros procesos. Estos procesos pueden incluir, entre otros, protocolos de enrutamiento interiores y exteriores».
Aunque la compañía dijo que lanzará correcciones de software para solucionar la falla, no compartió un cronograma de cuándo planea que esté disponible. El fabricante de equipos de red dijo que se dio cuenta de los intentos de explotar la falla el 28 de agosto.
Registrada como CVE-2020-3566, la gravedad de la vulnerabilidad se calificó como «alta» con una puntuación del Sistema de puntuación de vulnerabilidad común de 8,6 de un máximo de 10.
El error afecta a todos los equipos de Cisco que ejecutan su software XR del sistema operativo Internetwork (IOS) y se deriva de un problema en la función del Protocolo de enrutamiento de multidifusión de vector de distancia (DVMRP) que hace posible que un adversario envíe un Protocolo de administración de grupos de Internet (IGMP) especialmente diseñado. paquetes al dispositivo susceptible en cuestión y agotar la memoria del proceso.
IGMP generalmente se usa para usar de manera eficiente los recursos para aplicaciones de multidifusión cuando se admite la transmisión de contenido, como la transmisión de video en línea y los juegos. La falla radica en la forma en que el software IOS XR pone en cola estos paquetes, lo que podría causar el agotamiento de la memoria y la interrupción de otros procesos.
Si bien no hay soluciones alternativas para resolver el problema, Cisco recomienda a los administradores que ejecuten el comando «show igmp interface» para determinar si el enrutamiento de multidifusión está habilitado.
«Si la salida de ‘show igmp interface’ está vacía, el enrutamiento de multidifusión no está habilitado y el dispositivo no se ve afectado por estas vulnerabilidades», dijo la compañía.
Además, los administradores también pueden verificar los registros del sistema en busca de signos de agotamiento de la memoria e implementar límites de velocidad para reducir las tasas de tráfico IGMP para mitigar el riesgo.
Cisco no dio más detalles sobre cómo los atacantes estaban explotando esta vulnerabilidad y con qué objetivo en mente.
Pero dado que los ataques de agotamiento de recursos también son una forma de ataques de denegación de servicio, no sería sorprendente que los malos actores aprovecharan la falla para interferir con el funcionamiento normal del sistema.
