Cisco advirtió sobre una vulnerabilidad activa de día cero en el software de su enrutador que está siendo explotada en la naturaleza y podría permitir que un atacante autenticado y remoto lleve a cabo ataques de agotamiento de la memoria en un dispositivo afectado.
«Un atacante podría aprovechar estas vulnerabilidades enviando tráfico IGMP diseñado a un dispositivo afectado», dijo Cisco en un aviso publicado durante el fin de semana.
«Un exploit exitoso podría permitirle al atacante causar el agotamiento de la memoria, resultando en la inestabilidad de otros procesos. Estos procesos pueden incluir, pero no se limitan a, protocolos de enrutamiento interior y exterior».
Aunque la compañía dijo que lanzará correcciones de software para abordar la falla, no compartió un cronograma de cuándo planea hacerlo disponible. El fabricante de equipos de red dijo que se enteró de los intentos de explotar la falla el 28 de agosto.
Registrada como CVE-2020-3566 , la gravedad de la vulnerabilidad ha sido calificada como «alta» con una puntuación del Sistema de puntuación de vulnerabilidad común de 8.6 de un máximo. 10.
El error afecta a todos los equipos de Cisco que ejecutan su software XR del sistema operativo de internetwork (IOS) y se debe a un problema en la función del Protocolo de enrutamiento de multidifusión de vector de distancia ( DVMRP ) que hace posible que un adversario envíe un Protocolo de administración de grupo de Internet especialmente diseñado ( IGMP) paquetes al dispositivo susceptible en cuestión y agotar la memoria del proceso.
IGMP se usa generalmente para usar de manera eficiente los recursos para aplicaciones de multidifusión cuando se admite contenido de transmisión, como transmisión de video en línea y juegos. La falla radica en la forma en que el software IOS XR pone en cola estos paquetes, lo que puede causar el agotamiento de la memoria y la interrupción de otros procesos.
Si bien no existen soluciones alternativas para resolver el problema, Cisco recomienda a los administradores que ejecuten el comando «show igmp interface» para determinar si el enrutamiento de multidifusión está habilitado.
«Si la salida de ‘show igmp interface’ está vacía, el enrutamiento de multidifusión no está habilitado y el dispositivo no se ve afectado por estas vulnerabilidades», dijo la compañía.
Además, los administradores también pueden verificar los registros del sistema en busca de signos de agotamiento de la memoria e implementar la limitación de velocidad para reducir las tasas de tráfico IGMP para mitigar el riesgo.
Cisco no dio más detalles sobre cómo los atacantes estaban explotando esta vulnerabilidad y con qué objetivo en mente.
Pero dado que los ataques de agotamiento de recursos también son una forma de ataques de denegación de servicio, no sería sorprendente que los malos actores aprovechen la falla para interferir con el funcionamiento regular del sistema.