Les opérateurs de télécommunications et de centres de données en prennent note: les attaquants tentent activement d’exploiter une vulnérabilité de haute gravité zéro dans les périphériques réseau Cisco, a averti la société au cours du week-end.
La faille de sécurité réside dans Logiciel iOS XR de Cisco, un système d’exploitation pour les routeurs de classe opérateur et autres périphériques réseau utilisés par les fournisseurs de télécommunications et de centres de données. Dans un avis publié samedi, le fabricant d’équipement de réseau a déclaré qu’un correctif n’était pas encore disponible et n’a fourni aucun calendrier pour le moment où il serait publié.
Épuisement de la mémoire
La CVE-2020-3566, au fur et à mesure que la vulnérabilité est suivie, permet aux attaquants de «causer un épuisement de la mémoire, entraînant une instabilité d’autres processus», y compris, mais sans s’y limiter, les protocoles de routage intérieurs et extérieurs. Exploite le travail en envoyant malicieusement conçu Protocole de gestion de groupe Internet circulation. Normalement, les communications IGMP sont utilisées par les applications de mise en réseau un-à-plusieurs pour conserver les ressources lors du streaming vidéo et du contenu associé. Une faille dans la façon dont le logiciel iOS XR met en file d’attente les paquets IGMP permet de consommer des ressources mémoire.
«Un attaquant pourrait exploiter cette vulnérabilité en envoyant du trafic IGMP spécialement conçu à un appareil affecté», a déclaré l’avis de samedi. «Un exploit réussi pourrait permettre à l’attaquant de provoquer un épuisement de la mémoire, entraînant une instabilité d’autres processus. Ces processus peuvent inclure, mais sans s’y limiter, des protocoles de routage intérieurs et extérieurs. »
Le chercheur indépendant Troy Mursch, qui surveille les attaques Internet actives à l’aide de pots de miel – ou de réseaux de production simulés appartenant à des organisations et des consommateurs – m’a dit qu’il avait vu des signes limités de tentatives d’exploitation.
«Il y a eu une activité de scan IGMP la semaine dernière, mais nous n’avons pas vu de type d’attaque généralisé», a-t-il déclaré.
Il a déclaré que le but le plus probable des attaques serait de provoquer un déni de services qui, par définition, empêchent l’utilisation prévue des produits, souvent sur de vastes étendues d’Internet.
Les attaques peuvent être graves car elles menacent les serveurs haute disponibilité où la fiabilité et la sécurité sont primordiales. Pour être vulnérable, un appareil doit être configuré pour accepter le trafic utilisant DVMRP, abréviation de Protocole de routage de multidiffusion à vecteur de distance. Les réseaux utilisent DVMRP pour partager des informations entre les routeurs dans le transport de paquets IP multicast. Les réseaux qui n’ont pas besoin de DVMRP le désactivent souvent.
Cisco n’a pas précisé ce que faisaient les attaques au-delà de dire qu’elles pouvaient épuiser la mémoire qui perturberait divers processus. Cisco n’a pas non plus indiqué si l’une des tentatives d’exploitation réussissait. La société a évalué la gravité de la vulnérabilité «élevée» avec un total de 8,6 sur un total de 10. La faille de mise en file d’attente de paquets IGMP réside dans le protocole de routage de multidiffusion à vecteur de distance intégré à iOS XR.
L’avis fournit des indicateurs que les utilisateurs peuvent vérifier pour rechercher des preuves qu’ils sont attaqués. Le document indique qu’il n’y a pas de solutions de contournement disponibles à utiliser jusqu’à ce qu’un correctif puisse être installé. Cependant, il répertorie les mesures que les administrateurs peuvent faire pour atténuer les effets.
“Fan général de zombies. Pionnier de la culture pop. Créateur. Accro à la bière. Défenseur de l’alcool. Penseur passionné.”
