Cisco IOS XR zero-day kwetsbaarheid actief misbruikt

Cisco waarschuwt voor een zero-day kwetsbaarheid in het Internetwork Operating System (IOS) XR die op dit moment actief wordt misbruikt. Deze software wordt gebruikt door verschillende routers van Cisco. De kwetsbaarheid kan ervoor zorgen dat een op afstand geauthentiseerde aanvaller memory “exhaustion” aanvallen kan uitvoeren op kwetsbare apparaten.

De aanvaller kan misbruik maken van deze IOS XR kwetsbaarheid door een aangepast IGMP verkeer te versturen naar het kwetsbare apparaat. Wanneer er succesvol misbruik wordt gemaakt van de kwetsbaarheid, veroorzaakt dit in een memory “exhaustion”. Als gevolg hiervan worden andere processen instabiel. Het gaat hier onder andere om “interior” en “exterior” routing protocollen.

Meer over de IOS XR kwetsbaarheid

CVE-2020-3566 is toegewezen aan de kwetsbaarheid met een CVSS score van 8.6/10, waarmee deze kwetsbaarheid als “High” wordt aangegeven.

De kwetsbaarheid komt door een probleem in het Distance Vector Multicast Routing Protocol (DVMRP) functionaliteit, die het mogelijk maakt voor een kwaadwillende om een speciaal gemaakte Internet Group Management Protocol (IGMP) pakketten te versturen naar kwetsbare apparaten en het memory van het proces uitputten.

IGMP wordt normaal gesproken gebruikt voor het efficiënt gebruiken van resources voor multicasting applicaties door streaming content te ondersteunen zoals online video streams en gamen. IOS XR software zet de pakketten op een bepaalde manier in de wachtrij, waardoor deze memory “exhaustion” en onderbrekingen van andere processen veroorzaken.

Welke producten zijn kwetsbaar?

Alle Cisco producten die de IOS XR software draaien zijn kwetsbaar, behalve wanneer multicast routing niet is ingeschakeld. Dit zijn onder andere:

  • NCS 540 & 560 Series Routers;
  • NCS 5500 Series Routers;
  • 8000 Series Routers;
  • ASR 9000 Series Routers.

Wordt de kwetsbaarheid actief misbruikt?

Het Cisco Product Security Incident Response Team (PSIRT) heeft ontdekt dat er sinds 28 augustus pogingen worden gedaan om misbruik te maken van de kwetsbaarheid.

Cisco heeft niet gedeeld hoe de aanvallers misbruik maken van de kwetsbaarheid op dit moment en welk doel deze aanvallers hebben, maar aangezien “resource exhaustion” aanvallen een vorm van denial-of-service aanvallen zijn, is het geen verassing dat kwaadwillenden deze gebruiken om het normaal functioneren van het apparaat te verhinderen.

Updates beschikbaar?

Op dit moment zijn er nog geen updates beschikbaar om de kwetsbaarheid te verhelpen. Cisco geeft aan dat er binnenkort updates beschikbaar komen om deze kwetsbaarheid te verhelpen, maar er is geen tijdspad bekend wanneer deze beschikbaar worden gesteld.

Workaround beschikbaar?

Er zijn geen workarounds beschikbaar voor deze kwetsbaarheid. Wel wordt er aangeraden aan administrators om het commando: “show igmp interface” uit te voeren om te bepalen of multicast routing is ingeschakeld.

Wanneer de output van “show igmp interface” leeg is, dan is multicast routing niet ingeschakeld en is het apparaat niet kwetsbaar voor de IOS XR kwetsbaarheid.

Daarnaast kunnen administrator ook de systeem logs controleren voor signalen van memory “exhaustion” en het implementeren van rate-limiting voor het verminderen van het IGMP verkeer om het risico van de kwetsbaarheid te mitigeren.

Advies

Er wordt geadviseerd om de updates voor de kwetsbare apparaten te installeren wanneer deze beschikbaar worden gesteld door Cisco.

Voor nu is het advies om te controleren of multicast routing niet ingeschakeld is met het bovengenoemde commando en rate-limiting toe te passen voor het verminderen van het IGMP verkeer.

Ook wordt er aangeraden om de systeem logs te controleren voor signalen van memory “exhaustion”.

Eerdere berichten

Ander Cybersecurity nieuws lezen? Bekijk ook eens onze andere recente berichten:

Thuiswerken zorgt voor een toename aan security incidenten
Kritieke kwetsbaarheid CVE-2020-16875 in Microsoft Exchange maakt RCE mogelijk

Gerelateerde berichten

cisco

Onderzoeker onthult kritieke RCE-tekortkomingen in Cisco Security Manager

Ransomware

Gestolen data na een ransomware aanval wordt niet altijd verwijderd

Oracle

Oracle brengt noodpatch uit voor kritieke kwetsbaarheid in WebLogic Server

Microsoft 365

Grootste gedeelte van Microsoft 365 administrators activeert MFA niet

RYUK ransomware

Ryuk ransomware gang maakt gebruikt van Zerologon voor zeer snelle aanval

emotet

Nieuwe Emotet aanval met neppe Windows updates

Android ransomware

Nieuwe Android ransomware wordt door Microsoft voor gewaarschuwd

QR code

QR codes zijn handig, maar ook een Cybersecurity dreiging

Microsoft

Grote toename in pogingen tot misbruik Zerologon kwetsbaarheid in 1 week tijd

security awareness training

Security Awareness trainingen moeten regelmatig herhaald worden

Microsoft

Zerologon kritieke kwetsbaarheid in Windows Server maakt het mogelijk om domain controllers over te nemen

Microsoft

Kritieke kwetsbaarheid CVE-2020-16875 in Microsoft Exchange maakt RCE mogelijk

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden.

drie × 1 =

Menu