Hôm qua, Cisco đã phát hành các bản vá bảo mật cho hai lỗ hổng có mức độ nghiêm trọng cao ảnh hưởng đến phần mềm IOS XR đã được phát hiện bị khai thác một cách hoang dã một tháng trước.
Theo dõi là CVE-2020-3566 và CVE-2020-3569, chi tiết cho cả hai lỗ hổng DoS không được xác thực trong zero-day đã được Cisco công khai vào cuối tháng trước khi công ty phát hiện ra tin tặc đang tích cực khai thác Phần mềm Cisco IOS XR được cài đặt trên một loạt các bộ định tuyến cấp nhà mạng và trung tâm dữ liệu của Cisco.
Cả hai lỗ hổng DoS đều nằm trong tính năng Giao thức Định tuyến Đa phương tiện Khoảng cách (DVMRP) của Phần mềm Cisco IOS XR và tồn tại do việc triển khai không chính xác quản lý hàng đợi cho các gói Giao thức Quản lý Nhóm Internet (IGMP) trên các thiết bị bị ảnh hưởng.
IGMP là một giao thức truyền thông thường được sử dụng bởi các máy chủ và bộ định tuyến lân cận để sử dụng hiệu quả tài nguyên cho các ứng dụng đa hướng khi hỗ trợ nội dung truyền trực tuyến như phát video trực tuyến và chơi game.
“Các lỗ hổng này ảnh hưởng đến bất kỳ thiết bị Cisco nào đang chạy bất kỳ bản phát hành nào của Phần mềm Cisco IOS XR nếu một giao diện hoạt động được định cấu hình theo định tuyến đa hướng và nó đang nhận lưu lượng DVMRP”, Cisco cho biết trong một tham mưu.
“Quản trị viên có thể xác định xem định tuyến đa hướng có được bật trên thiết bị hay không bằng cách đưa ra lệnh hiển thị giao diện igmp.”
Việc khai thác thành công các lỗ hổng này có thể cho phép các tin tặc không được xác thực từ xa gửi các gói IGMP được chế tạo đặc biệt đến các thiết bị bị ảnh hưởng để làm hỏng ngay quy trình IGMP hoặc làm cạn kiệt bộ nhớ quy trình và cuối cùng là sự cố.
Việc tiêu thụ bộ nhớ có thể dẫn đến sự mất ổn định của các quy trình khác đang chạy trên thiết bị, bao gồm cả giao thức định tuyến cho cả mạng nội bộ và mạng bên ngoài.
Các lỗ hổng bảo mật ảnh hưởng đến tất cả các thiết bị Cisco đang chạy bất kỳ bản phát hành nào của Phần mềm Cisco IOS XR nếu một giao diện hoạt động được định cấu hình theo định tuyến đa hướng và nó đang nhận lưu lượng DVMRP.
Vào thời điểm Cisco ban đầu công khai các lỗ hổng này, công ty đã cung cấp một số biện pháp giảm thiểu để giải quyết các vấn đề và chặn các nỗ lực khai thác đang hoạt động, nhưng giờ đây, họ cuối cùng đã phát hành Bản nâng cấp bảo trì phần mềm (SMU) để giải quyết các lỗ hổng hoàn toàn.
“Mặc dù không có giải pháp thay thế cho những lỗ hổng này, nhưng có nhiều biện pháp giảm nhẹ có sẵn cho khách hàng tùy thuộc vào nhu cầu của họ”, công ty cho biết.
“Khi xem xét các biện pháp giảm thiểu, cần hiểu rằng đối với trường hợp cạn kiệt bộ nhớ, bộ giới hạn tốc độ và các phương pháp kiểm soát truy cập có hiệu quả. Đối với trường hợp sự cố quy trình IGMP tức thời, chỉ có phương pháp kiểm soát truy cập là có hiệu quả.”
Khách hàng của Cisco được khuyến nghị nên đảm bảo rằng họ đang chạy bản phát hành Phần mềm Cisco IOS XR mới nhất sớm hơn 6.6.3 và bản phát hành Phần mềm Cisco IOS XR 6.6.3 trở lên.
