Actualizaciones de seguridad para vulnerabilidades Zero-day de riesgo alto en productos de Cisco

Cisco ha abordado recientemente en actualizaciones de seguridad 2 vulnerabilidades Zero-day de riesgo alto, que afectan al software Cisco IOS XR, identificadas con los CVE-2020-3566 y CVE-2020-3569. Dichas vulnerabilidades están siendo explotadas activamente por ciberdelincuentes desde hace ya un mes. La explotación exitosa de estos fallos permitiría a un atacante remoto realizar ataques de denegación de servicios (DoS) en el dispositivo afectado.

Productos Afectados:

• Cisco IOS XRv 9000 Router
• Cisco Network Convergence System 1000, 5000 y 5500 Series
• Cisco 8000 Series Routers
• Cisco IOS XR Software
• Cisco ASR 9910, 9922, 9010, 9904, 9006, 9001, 9901, 9903, 9912 y 9906 Routers
• Cisco Network Convergence System 6000 y 500 Series Routers

Ambos fallos, tratan de vulnerabilidades del tipo Uncontrolled Resource Consumption, que afectan a los dispositivos mencionados en la sección “Productos Afectados” que se encuentren ejecutando versiones anteriores a la 6.6.3 del software Cisco IOS XR, con una interfaz activa y configurada con enrutamiento de multidifusión, y además se encuentren recibiendo tráfico DVMRP (Distance Vector Multicast Routing Protocol). Estos fallos se dan debido a un mal manejo de los paquetes IGMP (Internet Group Management Protocol).

Un atacante remoto no autenticado podría enviar tráfico IGMP malicioso a un dispositivo afectado, llevando al bloqueo del proceso IGMP o provocando que consuma toda la memoria disponible. Este consumo excesivo de memoria podría afectar también negativamente a otros procesos que se encuentren ejecutándose en el dispositivo.

¿Cómo determinar si el enrutamiento de multidifusión se encuentra activado?

Un administrador puede determinar si el enrutamiento de multidifusión se encuentra activado utilizando el siguiente comando show igmp interface en la interfaz de línea de comandos del software Cisco IOS XR del dispositivo. La siguiente imagen muestra una salida de ejemplo en un dispositivo con multidifusión activado:

Si la salida del comando show igmp interface está vacía, esto significa que el enrutamiento de multidifusión se encuentra desactivado y el dispositivo no se encuentra afectado por estas vulnerabilidades.

¿Cómo determinar si el dispositivo está recibiendo tráfico DVMRP?

Un administrador puede determinar si el dispositivo está recibiendo tráfico DVMRP utilizando el siguiente comando show igmp traffic en la interfaz de línea de comandos del software Cisco IOS XR del dispositivo. La siguiente imagen muestra la salida de este comando para un dispositivo que está recibiendo tráfico DVMRP:

Si la entrada de los paquetes DVMRP contiene valores de cero en la primera columna y los contadores permanecen en cero en la siguiente ejecución del comando, el dispositivo no está recibiendo tráfico DVMRP.

Recomendaciones:

• Aplicar los parches de seguridad SMU (Software Maintenance Upgrades) lanzados por Cisco, para los siguientes productos:
  • ASR 9000 Series Routers, desde el siguiente enlace
  • Network Convergence System 6000 Series Routers, desde el siguiente enlace.
  • Network Convergence System 500 Series Routers, desde el siguiente enlace.
  • IOS XRv 9000 Router, desde el siguiente enlace.
  • Network Convergence System 1000 Series, desde el siguiente enlace.
  • Network Convergence System 5000 Series, desde el siguiente enlace.
  • Network Convergence System 5500 Series, desde el siguiente enlace.
  • 8000 Series Routers, desde el siguiente enlace.
• Por otro lado, en caso de no ser posible la actualización, Cisco ofrece medidas de mitigación para evitar la explotación de estas vulnerabilidades:
  • Para el caso del consumo excesivo de memoria y el bloqueo del proceso IGMP, Cisco recomienda implementar una entrada de control de acceso (ACE) a una lista de control de acceso (ACL) de interfaz existente. Alternativamente, se recomienda crear una nueva lista de control de acceso para una interfaz específica que niega el tráfico DVMRP entrante en dicha interfaz. A continuación se visualiza un ejemplo:

• En el caso del consumo excesivo de memoria, se recomienda que los clientes implementen un limitador de velocidad. Esto requiere que el usuario tenga conocimiento de la tasa actual del tráfico IGMP y asignar una tasa más baja que la tasa promedio actual. Para ello, en el modo de configuración se debe ingresar el comando lpts pifib hardware police flow igmp rate de la siguiente manera:

Obs: este comando no removerá el vector de ataque, sin embargo, reducirá la tasa de tráfico y aumentará el tiempo necesario para una explotación exitosa

Referencias:

• https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxr-dvmrp-memexh-dSmpdvfz
• https://thehackernews.com/2020/09/cisco.html
• https://www.bleepingcomputer.com/news/security/cisco-fixes-actively-exploited-bugs-in-carrier-grade-routers/