Корпорация Cisco предупредила о том, что киберзлоумышленники активно эксплуатируют уязвимость в программной оболочке Cisco IOS XR Network OS, которая используется в роутерах операторского класса.
Среди таких роутеров, по данным Bleeping Computer, платформы NCS 540 & 560, NCS 5500, 8000 и ASR 9000. Патч еще не выпущен, но компания предлагает временное решение.
Баг, получивший название CVE-2020-3566, присутствует в протоколе DVMRP (Distance Vector Multicast Routing Protocol). Злоумышленники могут вызвать исчерпание системной памяти, причем для этого не потребуется ни физический доступ к устройству, ни авторизация. Достаточно начать слать специальные IGMP-пакеты — как раз в некорректной обработке очередей протокола Internet Group Management Protocol проблема и заключается.
Уязвимость затрагивает все устройства на базе Cisco IOS XR при условии, что на них активирован многоадресный режим маршрутизации. Проверить, работает ли он, можно с помощью команды showigmpinterface. Если многоадресная маршрутизация отключена, команда вернет пустые значения.
Обновления для уязвимой программной оболочки Cisco обещает выпустить в ближайшее время.
Что касается промежуточного решения, то Cisco предлагает реализовать ограничения на интенсивность трафика IGMP, а также заблокировать входящий DVRMP-трафик к интерфейсам, где включена многоадресная маршрутизация. Самым эффективным способом будет, впрочем, отключение маршрутизации IGMP — там, где в ней вообще нет необходимости.