Cisco a mis en garde contre une vulnérabilité active zero-day dans son logiciel de routeur qui est exploitée dans la nature et pourrait permettre à un attaquant distant et authentifié de mener des attaques d’épuisement de la mémoire sur un périphérique affecté.
«Un attaquant pourrait exploiter ces vulnérabilités en envoyant du trafic IGMP spécialement conçu à un périphérique affecté», a déclaré Cisco dans un avis publié ce week-end.
« Un exploit réussi pourrait permettre à l’attaquant de provoquer un épuisement de la mémoire, entraînant une instabilité d’autres processus. Ces processus peuvent inclure, mais sans s’y limiter, des protocoles de routage intérieurs et extérieurs. »
Bien que la société ait annoncé qu’elle publierait des correctifs logiciels pour remédier à la faille, elle n’a pas partagé de calendrier pour savoir quand elle prévoit de la rendre disponible. Le fabricant d’équipement de réseau a déclaré avoir pris connaissance de tentatives d’exploitation de la faille le 28 août.
Suivi comme CVE-2020-3566, la gravité de la vulnérabilité a été jugée «élevée» avec un score Common Vulnerability Scoring System de 8,6 sur un maximum de 10.
Le bogue affecte tous les équipements Cisco exécutant son Système d’exploitation interréseau (IOS) XR Software et découle d’un problème dans le protocole de routage de multidiffusion à vecteur de distance (DVMRP) qui permet à un adversaire d’envoyer un protocole de gestion de groupe Internet spécialement conçu (IGMP) vers le périphérique sensible en question et épuisent la mémoire de processus.
IGMP est généralement utilisé pour utiliser efficacement les ressources pour les applications de multidiffusion lors de la prise en charge de contenu en streaming tel que le streaming vidéo en ligne et les jeux. La faille réside dans la manière dont le logiciel IOS XR met ces paquets en file d’attente, ce qui peut entraîner un épuisement de la mémoire et une interruption d’autres processus.
Bien qu’il n’y ait aucune solution de contournement pour résoudre le problème, Cisco recommande aux administrateurs d’exécuter la commande «show igmp interface» pour déterminer si le routage de multidiffusion est activé.
«Si la sortie de ‘show igmp interface’ est vide, le routage multicast n’est pas activé et l’appareil n’est pas affecté par ces vulnérabilités», a déclaré la société.
En outre, les administrateurs peuvent également rechercher dans les journaux système des signes d’épuisement de la mémoire et implémenter une limitation de débit pour réduire les taux de trafic IGMP afin d’atténuer le risque.
Cisco n’a pas précisé comment les attaquants exploitaient cette vulnérabilité et dans quel but.
Mais étant donné que les attaques d’épuisement des ressources sont également une forme d’attaques par déni de service, il ne serait pas surprenant que de mauvais acteurs exploitent la faille pour interférer avec le fonctionnement régulier du système.