CVE-2010-3035

Cisco IOS XR

ВЕРОЯТНОСТЬ 3.2%
Дата обнаружения

2022-03-25

Официальное описание

Cisco IOS XR, when BGP is the configured routing feature, allows remote attackers to cause a denial-of-service (DoS).

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в реализации BGP (Border Gateway Protocol) в Cisco IOS XR позволяет удаленному злоумышленнику вызвать отказ в обслуживании (DoS) на маршрутизаторе. Атакующий может отправить специально сформированный BGP-пакет, который приведет к перезагрузке процесса bgp или всего устройства, прерывая маршрутизацию.

Как исправить

Установите исправленную версию ПО Cisco IOS XR. Патч включен в следующие релизы и более новые: * Для серии CRS-1/Carrier Routing System: версия 3.9.1 и выше. * Для серии CRS-3: версия 4.0.0 и выше. * Для серии ASR 9000 Aggregation Services Router: версия 3.9.1 и выше.

Процедура обновления: 1. Скачайте необходимый образ IOS XR с сайта Cisco. 2. Загрузите образ на маршрутизатор (например, в раздел harddisk: или disk0:). 3. Установите новую версию и перезагрузите устройство.

! Пример команд для установки пакета обновления на ASR9K
admin
install add source harddisk:asr9k-mpls-px.pie-4.2.0
install activate asr9k-mpls-px.pie-4.2.0
install commit
reload location all

Важно: Перед обновлением проверьте совместимость нового ПО с вашей аппаратной конфигурацией и планами на Cisco Feature Navigator.

Временное решение

Если немедленное обновление невозможно, примените следующие меры:

  1. Используйте фильтрацию BGP (RPF): Настройте фильтрацию на edge-маршрутизаторах, чтобы принимать BGP-сессии только от доверенных пиров (известных IP-адресов соседей). bash router bgp <AS_NUMBER> neighbor <TRUSTED_PEER_IP> remote-as <PEER_AS_NUMBER> address-family ipv4 unicast route-policy RPF_IN in ! Применить политику на входящий трафик ! route-policy RPF_IN if source in TRUSTED_PEERS then pass else drop endif end-policy ! prefix-set TRUSTED_PEERS <TRUSTED_PEER_IP_1>/32, <TRUSTED_PEER_IP_2>/32 end-set

  2. Ограничьте доступ к BGP-порту (TCP/179): С помощью ACL (Access Control List) разрешите входящие соединения на порт 179 только с IP-адресов доверенных BGP-соседей. bash ipv4 access-list BGP-ACL 10 permit tcp host <TRUSTED_PEER_IP_1> any eq 179 20 permit tcp host <TRUSTED_PEER_IP_2> any eq 179 30 deny tcp any any eq 179 40 permit ipv4 any any ! interface <WAN_INTERFACE> ipv4 access-group BGP-ACL ingress

  3. Настройте CoPP (Control Plane Policing): Ограничьте скорость BGP-трафика, поступающего на управляющую плоскость, чтобы снизить риск эксплуатации. bash policy-map COPP-BGP class COPP-BGP-CLASS police rate <RATE_IN_pps> peak-rate <PEAK_RATE_IN_pps> conform-action transmit exceed-action drop ! class-map match-any COPP-BGP-CLASS match access-group name BGP-ACL-COPP ! ipv4 access-list BGP-ACL-COPP permit tcp any eq 179 any permit tcp any any eq 179

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей