Cisco IOS XR zero-day kwetsbaarheid actief misbruikt

Cisco waarschuwt voor een zero-day kwetsbaarheid in het Internetwork Operating System (IOS) XR die op dit moment actief wordt misbruikt. Deze software wordt gebruikt door verschillende routers van Cisco. De kwetsbaarheid kan ervoor zorgen dat een op afstand geauthentiseerde aanvaller memory “exhaustion” aanvallen kan uitvoeren op kwetsbare apparaten.

De aanvaller kan misbruik maken van deze IOS XR kwetsbaarheid door een aangepast IGMP verkeer te versturen naar het kwetsbare apparaat. Wanneer er succesvol misbruik wordt gemaakt van de kwetsbaarheid, veroorzaakt dit in een memory “exhaustion”. Als gevolg hiervan worden andere processen instabiel. Het gaat hier onder andere om “interior” en “exterior” routing protocollen.

Meer over de IOS XR kwetsbaarheid

CVE-2020-3566 is toegewezen aan de kwetsbaarheid met een CVSS score van 8.6/10, waarmee deze kwetsbaarheid als “High” wordt aangegeven.

De kwetsbaarheid komt door een probleem in het Distance Vector Multicast Routing Protocol (DVMRP) functionaliteit, die het mogelijk maakt voor een kwaadwillende om een speciaal gemaakte Internet Group Management Protocol (IGMP) pakketten te versturen naar kwetsbare apparaten en het memory van het proces uitputten.

IGMP wordt normaal gesproken gebruikt voor het efficiënt gebruiken van resources voor multicasting applicaties door streaming content te ondersteunen zoals online video streams en gamen. IOS XR software zet de pakketten op een bepaalde manier in de wachtrij, waardoor deze memory “exhaustion” en onderbrekingen van andere processen veroorzaken.

Welke producten zijn kwetsbaar?

Alle Cisco producten die de IOS XR software draaien zijn kwetsbaar, behalve wanneer multicast routing niet is ingeschakeld. Dit zijn onder andere:

  • NCS 540 & 560 Series Routers;
  • NCS 5500 Series Routers;
  • 8000 Series Routers;
  • ASR 9000 Series Routers.

Wordt de kwetsbaarheid actief misbruikt?

Het Cisco Product Security Incident Response Team (PSIRT) heeft ontdekt dat er sinds 28 augustus pogingen worden gedaan om misbruik te maken van de kwetsbaarheid.

Cisco heeft niet gedeeld hoe de aanvallers misbruik maken van de kwetsbaarheid op dit moment en welk doel deze aanvallers hebben, maar aangezien “resource exhaustion” aanvallen een vorm van denial-of-service aanvallen zijn, is het geen verassing dat kwaadwillenden deze gebruiken om het normaal functioneren van het apparaat te verhinderen.

Updates beschikbaar?

Op dit moment zijn er nog geen updates beschikbaar om de kwetsbaarheid te verhelpen. Cisco geeft aan dat er binnenkort updates beschikbaar komen om deze kwetsbaarheid te verhelpen, maar er is geen tijdspad bekend wanneer deze beschikbaar worden gesteld.

Workaround beschikbaar?

Er zijn geen workarounds beschikbaar voor deze kwetsbaarheid. Wel wordt er aangeraden aan administrators om het commando: “show igmp interface” uit te voeren om te bepalen of multicast routing is ingeschakeld.

Wanneer de output van “show igmp interface” leeg is, dan is multicast routing niet ingeschakeld en is het apparaat niet kwetsbaar voor de IOS XR kwetsbaarheid.

Daarnaast kunnen administrator ook de systeem logs controleren voor signalen van memory “exhaustion” en het implementeren van rate-limiting voor het verminderen van het IGMP verkeer om het risico van de kwetsbaarheid te mitigeren.

Advies

Er wordt geadviseerd om de updates voor de kwetsbare apparaten te installeren wanneer deze beschikbaar worden gesteld door Cisco.

Voor nu is het advies om te controleren of multicast routing niet ingeschakeld is met het bovengenoemde commando en rate-limiting toe te passen voor het verminderen van het IGMP verkeer.

Ook wordt er aangeraden om de systeem logs te controleren voor signalen van memory “exhaustion”.

Eerdere berichten

Ander Cybersecurity nieuws lezen? Bekijk ook eens onze andere recente berichten:

Thuiswerken zorgt voor een toename aan security incidenten
Kritieke kwetsbaarheid CVE-2020-16875 in Microsoft Exchange maakt RCE mogelijk

Gerelateerde berichten

security awareness training

Security Awareness trainingen moeten regelmatig herhaald worden

Microsoft

Zerologon kritieke kwetsbaarheid in Windows Server maakt het mogelijk om domain controllers over te nemen

Microsoft

Kritieke kwetsbaarheid CVE-2020-16875 in Microsoft Exchange maakt RCE mogelijk

thuiswerken

Thuiswerken zorgt voor een toename aan security incidenten

MS Teams

Microsoft Teams Updater misbruikt om “living of the land” aanvallen uit te voeren

teamviewer

TeamViewer kwetsbaarheid kan hackers het systeemwachtwoord laten stelen

Trickbot

Nieuwe string TrickBot Anchor Malware infecteert zowel Linux- als Windows-systemen

BootHole

BootHole kwetsbaarheid maakt devices met Secure Boot kwetsbaar voor aanvallen

cisco

Kwetsbaarheid in Cisco FTD en ASA zorgt voor lek van gevoelige data

emotet

Emotet botnet keert na 5 maanden terug

sigred kwetsbaarheid

SIGRed, een “wormable” kritieke kwetsbaarheid in Windows DNS-Server

f5 kwetsbaarheid

Ernstige kritieke kwetsbaarheid in BIG-IP ADC van F5

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden.

een × een =

Menu