CVE-2020-3569

Cisco IOS XR

ВЕРОЯТНОСТЬ 4.7%
Дата обнаружения

2021-11-03

Официальное описание

Cisco IOS XR Distance Vector Multicast Routing Protocol (DVMRP) incorrectly handles Internet Group Management Protocol (IGMP) packets. Exploitation could allow an unauthenticated, remote attacker to immediately crash the IGMP process or make it consume available memory and eventually crash.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в реализации протокола DVMRP в Cisco IOS XR. Удаленный злоумышленник, не проходя аутентификацию, может отправить специально сформированные IGMP-пакеты, которые приведут к: * Немедленному падению процесса IGMP (отказ в обслуживании). * Утечке памяти в процессе IGMP с последующим его падением (отказ в обслуживании).

Как исправить

Установите исправленное ПО Cisco IOS XR. Выбор версии зависит от вашей текущей установки. Обновитесь до одной из следующих (или более поздних) исправленных версий:

  • Для выпуска 6.6.x: обновитесь до 6.6.3 или новее.
  • Для выпуска 7.0.x: обновитесь до 7.0.2 или новее.
  • Для выпуска 7.1.x: обновитесь до 7.1.1 или новее.
  • Для выпуска 7.2.x: обновитесь до 7.2.1 или новее.

Процедура обновления (пример): 1. Загрузите исправленный образ ПО с портала Cisco Software Center. 2. Установите его на активционный и резервный контроллеры маршрутизации (RSP/DRP). 3. Перезагрузите устройство для применения обновления.

# Пример команд для установки пакета обновления (замените 'disk0:' и имя файла на актуальные)
RP/0/RSP0/CPU0:ios# admin
RP/0/RSP0/CPU0:ios(admin)# install add source disk0:iosxr-fixed-image-7.3.2.tar
RP/0/RSP0/CPU0:ios(admin)# install activate
RP/0/RSP0/CPU0:ios(admin)# install commit

Временное решение

Если немедленное обновление невозможно, примените одно из следующих решений:

  1. Отключите DVMRP на всех интерфейсах, где он не требуется для функционирования сети. Это основная мера. bash ! Войдите в режим конфигурации интерфейса RP/0/RSP0/CPU0:ios# configure RP/0/RSP0/CPU0:ios(config)# interface GigabitEthernet0/0/0/1 ! Запретите DVMRP на интерфейсе RP/0/RSP0/CPU0:ios(config-if)# no ipv4 dvmrp RP/0/RSP0/CPU0:ios(config-if)# commit

  2. Используйте ACL (Access Control List) для фильтрации IGMP-трафика от ненадежных источников на граничных интерфейсах. ```bash ! Создайте ACL, разрешающий только необходимый IGMP-трафик RP/0/RSP0/CPU0:ios(config)# ipv4 access-list FILTER-IGMP RP/0/RSP0/CPU0:ios(config-ipv4-acl)# 10 permit igmp host <trusted-source> any RP/0/RSP0/CPU0:ios(config-ipv4-acl)# 20 deny igmp any any RP/0/RSP0/CPU0:ios(config-ipv4-acl)# 30 permit ipv4 any any RP/0/RSP0/CPU0:ios(config-ipv4-acl)# exit

    ! Примените ACL на входящий трафик интерфейса RP/0/RSP0/CPU0:ios(config)# interface GigabitEthernet0/0/0/0 RP/0/RSP0/CPU0:ios(config-if)# ipv4 access-group FILTER-IGMP ingress RP/0/RSP0/CPU0:ios(config-if)# commit ```

Важно: Временные решения снижают функциональность или увеличивают нагрузку на управление. Планируйте установку официального патча как можно скорее.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей