Cisco a publié cette semaine des correctifs pour deux vulnérabilités de haute gravité dans le logiciel IOS XR qui ont été activement exploitées dans des attaques depuis plus d’un mois.

Suivi comme CVE-2020-3566 et CVE-2020-3569 et affichant un score CVSS de 8,6, les deux failles ont été rendues publiques fin août, lorsque Cisco a révélé que des pirates les ciblaient déjà dans des attaques.

Les deux problèmes ont été identifiés dans la fonctionnalité DVMRP (Distance Vector Multicast Routing Protocol) d’IOS XR et pourraient être exploités sans authentification pour provoquer l’épuisement de la mémoire du processus par le processus IGMP (Internet Group Management Protocol) et le crash.

Les bogues, explique Cisco, existent parce que les paquets IGMP ne sont pas traités correctement, ce qui signifie que le trafic IGMP conçu peut être envoyé aux périphériques affectés pour les déclencher. Un exploit réussi ferait immédiatement planter le processus IGMP ou provoquerait un épuisement de la mémoire, affectant ainsi la stabilité d’autres processus, y compris ceux des protocoles de routage.

«Dans le cas d’un crash immédiat du processus IGMP, il n’est pas nécessaire de redémarrer manuellement le processus IGMP car le système a déjà effectué cette action. Ce redémarrage automatisé récupérera la mémoire consommée », note la société dans un avis.

Tous les périphériques Cisco exécutant IOS XR sont affectés, «si une interface active est configurée sous le routage multicast» et si le trafic DVMRP est reçu, explique Cisco.

Les administrateurs peuvent utiliser l’interface show igmp et les commandes show igmp traffic pour déterminer si le routage multicast est activé et si le périphérique reçoit du trafic DVMRP. En outre, ils peuvent utiliser des méthodes de limitation de débit et de contrôle d’accès pour atténuer l’épuisement de la mémoire.

Cette semaine, Cisco a annoncé que des mises à jour logicielles conçues pour remédier à ces vulnérabilités sont disponibles pour les plates-formes ASR9K-PX, ASR9K-X64, CRS et NCS5500.

Connexes: Cisco déclare que les pirates informatiques ciblent les jours zéro dans les routeurs de qualité opérateur