CVE-2020-3566

Суть уязвимости

Уязвимость в реализации протокола DVMRP в Cisco IOS XR. Удаленный злоумышленник без аутентификации может отправить специально сформированный IGMP-пакет, который приводит к: * Немедленному краху процесса IGMP (отказ в обслуживании). * Утечке памяти в процессе IGMP с последующим его крахом (отказ в обслуживании).

Как исправить

Установите исправленное ПО Cisco IOS XR. Обновление зависит от вашей текущей версии и серии устройства (ASR9k, NCS5xx/6xx, NCS540/560 и т.д.).

1. Определите текущую версию ПО: bash show version

2. Обновитесь до исправленной версии. Для каждой основной ветки первая исправленная версия указана ниже. Выберите версию, соответствующую вашему железу и текущему релизу:

   • Release 6.5.x: Обновитесь до 6.5.3 или новее.
   • Release 6.6.x: Обновитесь до 6.6.3 или новее.
   • Release 7.0.x: Обновитесь до 7.0.2 или новее.
   • Release 7.1.x: Обновитесь до 7.1.1 или новее.

   Пример команды для установки нового образа (замените flash: на ваш источник): bash install add source flash:asr9k-mcast-px.pie-7.1.1 activate commit

   Важно: Всегда проверяйте официальный Security Advisory Cisco cisco-sa-iosxr-dvmrp-7Q9JMSF для получения актуального списка исправленных версий под вашу платформу перед обновлением.

Временное решение

Если немедленное обновление невозможно, примените одно из следующих решений:

1. Отключите DVMRP на всех интерфейсах, где он не используется критически. Это основная мера. bash router igmp interface <interface_name> no dvmrp

2. Ограничьте доступ к устройству. Используйте Control Plane Policing (CoPP) или ACL на управляющей плоскости, чтобы заблокировать IGMP-пакеты (протокол 2) от ненадежных источников. Пример ACL для CoPP: bash ipv4 access-list COPP-ACL-IGMP 10 deny igmp any any 20 permit ipv4 any any ! control-plane service-policy input COPP-POLICY (Требует тонкой настройки под вашу сетевую политику, чтобы не заблокировать легитимный трафик.)