CVE-2009-2055

Cisco IOS XR

ВЕРОЯТНОСТЬ 0.4%
Дата обнаружения

2022-03-25

Официальное описание

Cisco IOS XR,when BGP is the configured routing feature, allows remote attackers to cause a denial-of-service (DoS).

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в реализации BGP в Cisco IOS XR позволяет удаленному злоумышленнику вызвать отказ в обслуживании (DoS) на маршрутизаторе, отправив специально сформированные BGP-пакеты. Это может привести к перезагрузке процесса BGP или всего устройства, прерывая маршрутизацию.

Как исправить

Установите исправленное ПО Cisco IOS XR. Требуемая версия зависит от вашей текущей ветки релизов.

  1. Определите текущую версию ПО: bash show version

  2. Обновитесь до исправленной версии для вашей ветки:

    • Для ветки 3.4: Обновитесь до 3.4.4 или новее.
    • Для ветки 3.5: Обновитесь до 3.5.3 или новее.
    • Для ветки 3.6: Обновитесь до 3.6.2 или новее.
    • Для ветки 3.7: Обновитесь до 3.7.1 или новее.
    • Для ветки 3.8: Обновитесь до 3.8.0 или новее (уязвимость отсутствует в изначальном релизе 3.8).

    Загрузите образ и установите его, например, через процедуру инсталляции (install) или SMU. Пример команды для добавления SMU: bash install add source <путь_к_файлу_SMU> activate commit

Временное решение

Если немедленное обновление невозможно, ограничьте доступ к BGP-сессиям.

  1. Настройте ACL для BGP-соседей: Разрешите соединения на TCP-порт 179 (BGP) только с доверенных IP-адресов пиров. bash ipv4 access-list ACL-BGP-PEERS 10 permit tcp host <IP_пира_1> host <локальный_IP> eq 179 20 permit tcp host <IP_пира_2> host <локальный_IP> eq 179 30 deny tcp any any eq 179 log ! control-plane host management-interface GigabitEthernet0/0/0/0 allow ACL-BGP-PEERS !

  2. Используйте BGP TTL Security Hack (BTSH): Настройте на каждом BGP-сеансе для проверки TTL входящих пакетов. Это защитит от атак с удаленных сетей. bash router bgp <ASN> neighbor <IP_пира> ttl-security hops <число_хопов>

  3. Примените Control Plane Policing (CoPP): Ограничьте скорость BGP-трафика, поступающего на управляющую плоскость, чтобы смягчить последствия атаки. bash policy-map COPP-BGP class COPP-BGP-CLASS police rate <значение> pps conform-action transmit violate-action drop ! class-map match-any COPP-BGP-CLASS match access-group name ACL-BGP ! ipv4 access-list ACL-BGP permit tcp any any eq bgp

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей