Alertas de seguridad

Vulnerabilidad en Cisco IOS XR Software

Cisco publicó una serie de vulnerabilidades de día cero de severidad alta que están siendo aprovechadas por actores maliciosos, presentes en el software Cisco IOS XR; afectando la función del Protocolo de enrutamiento de multidifusión vectorial de distancia (DVMRP) y existente a la implementación incorrecta de la administración de colas para los paquetes del Protocolo de administración de grupos de Internet (IGMP), que se ejecuta en enrutadores de nivel empresarial de Cisco para proveedores de servicios, centros de datos, empresas e infraestructura crítica.

Estas dos fallas de día cero, CVE-2020-3566 y CVE-2020-3569, al ser explotadas podría permitir que un atacante remoto no autenticado bloquee inmediatamente el proceso del Protocolo de administración de grupos de Internet (IGMP) y haga consumir la memoria disponible. Para que un atacante se aproveche de esta falla, necesitaría enviar paquetes IGMP especialmente diseñados a un dispositivo vulnerable, siempre y cuando este tenga las interfaces de IOS XR configuradas en enrutamiento “multicast”. Esto podría resultar en inestabilidad en los procesos, causando un impacto en los protocolos de enrutamiento para redes internas y externas que podría resultar en la ralentización o paralización de una red.

Impacto

  • Vector de Ataque: Red
  • Complejidad: Bajo
  • Privilegios Requeridos: Ninguno
  • Impacto en la disponibilidad: Alto

De acuerdo a las especificaciones dadas por Cisco, si el enrutamiento de multidifusión no está habilitado en el dispositivo, no se verá afectado por ninguna de estas vulnerabilidades. La ejecución del comando show igmp interface en un dispositivo con el software Cisco IOS XR mostrará la configuración de enrutamiento de multidifusión. Si la salida está vacía, el dispositivo no se ve afectado.

Indicadores de Compromiso (IoCs)

A continuación, se listan los mensajes que pueden aparecer en los registros del sistema cuando alguna de las fallas reportadas en esta alerta está siendo aprovechada:

  • Taildrop on XIPC queue 1 owned by igmp (jid=1175)
  • Dump request for process pkg/bin/igmp
  • Dump request with attribute 7 for process pkg/bin/igmp
  • Thread 9 received SIGSEGV – Segmentation Fault

Acciones recomendadas

El pasado 29 de septiembre, Cisco señaló que lanzaron actualizaciones de mantenimiento de software (SMU) para abordar ambas vulnerabilidades para las versiones de Cisco IOS XR, sin embargo, como medida adicional se recomienda:

  • Deshabilitar el enrutamiento multicast en el dispositivo.
  • Implementar un “rate limiter” en los dispositivos afectados.
  • Implementar una entrada de control de acceso (ACE) a una lista ACL (Access Control List) para no permitir el tráfico DVMRP entrante a esa interfaz.
  • Identificar los equipos internos que tengan actividad relacionada con los indicadores notificados y realizar un análisis a mayor profundidad.