Cisco advierte sobre fallos de seguridad en IOS XR

Cisco advirtió el sábado pasado 29 de Agosto, sobre una nueva vulnerabilidad de día cero que afecta al sistema operativo IOS de sus equipos de red, routers y switches. Las vulnerabilidades, identificadas como CVE-2020-3566 y CVE-2020-3569, afecta la función del Protocolo de enrutamiento de multidifusión de vector de distancia (DVMRP), presente en la versión XR del sistema operativo IOS.

Cisco dice que la función DVMRP contiene un error que permite a un atacante remoto no autenticado agotar la memoria del proceso y bloquear otros procesos que se ejecutan en el dispositivo.

«La vulnerabilidad se debe a una gestión insuficiente de la cola para los paquetes del Protocolo de Administración de Grupos de Internet (IGMP). Un atacante podría aprovechar esta vulnerabilidad enviando tráfico IGMP diseñado a un dispositivo afectado. Una explotación exitosa podría permitir que el atacante agotara la memoria, lo que provocaría inestabilidad de otros procesos. Estos procesos pueden incluir, pero no se limitan a, protocolos de enrutamiento interior y exterior «.

Cisco PSIRT.

El fabricante indicó que el hallazgo de estos comportamientos fue identificado la semana pasada, donde los atacantes explotaban este fallo. Los ataques se detectaron durante un caso de soporte al que se llamó al equipo de soporte de la empresa para investigar.

Todavía faltan unos días para los parches. Mientras tanto, Cisco ha proporcionado varias soluciones y mitigaciones para sus clientes con el fin de redudir las posibilidades de explotación. El aviso de seguridad del fabricante también incluye instrucciones adicionales de respuesta a incidentes para que las empresas investiguen sus registros y verifiquen si han sido atacadas.

  • Aplicar ACLs que descarten el tráfico DVMRP de ingreso.
  • Aplicar políticas de límite de tráfico IGMP, con el objetivo de reducir las posibilidades de compromiso.

Cuando un dispositivo experimenta un agotamiento de la memoria debido a la explotación de estas vulnerabilidades, los siguientes Indicadores de Compromiso pueden aparecer en los registros del sistema:

RP/0/RSP1/CPU0:Aug 28 03:46:10.375 UTC: raw_ip[399]: %PKT_INFRA-PQMON-6-QUEUE_DROP : Taildrop on XIPC queue 1 owned by igmp (jid=1175)
RP/0/RSP0/CPU0:Aug 28 03:46:10.380 UTC: raw_ip[399]: %PKT_INFRA-PQMON-6-QUEUE_DROP : Taildrop on XIPC queue 1 owned by igmp (jid=1175)
RP/0/RSP0/CPU0:Aug 28 03:49:22.850 UTC: dumper[61]: %OS-DUMPER-7-DUMP_REQUEST : Dump request for process pkg/bin/igmp
RP/0/RSP0/CPU0:Aug 28 03:49:22.851 UTC: dumper[61]: %OS-DUMPER-7-DUMP_ATTRIBUTE : Dump request with attribute 7 for process pkg/bin/igmp
RP/0/RSP0/CPU0:Aug 28 03:49:22.851 UTC: dumper[61]: %OS-DUMPER-4-SIGSEGV : Thread 9 received SIGSEGV - Segmentation Fault

No está claro cómo los atacantes están usando este error en el gran esquema de las cosas. Es posible que lo estén utilizando para bloquear otros procesos en el enrutador, como los mecanismos de seguridad, y obtener acceso al dispositivo. Sin embargo, esto es solo una teoría, y las empresas deberán investigar a fondo sus logs después de detectar cualquier signo de explotación.

Referencias: