حذرت شركة Cisco المستخدمين من أن المتسللين استغلوا بنشاط خطأ في أجهزة التوجيه من فئة الناقل ، وكانت ثغرة يوم الصفر تؤثر على نظام تشغيل الإنترنت (IOS) الذي يترافق مع أجهزة الشبكات الخاصة به.
وصف خبراء الأمن الثغرة الأمنية بأنها CVE-2020-3566 ، وهي تؤثر على ميزة بروتوكول توجيه الإرسال المتعدد المتجهات (DVMRP) في نظام التشغيل الخاص بها.
يتم التخلص من نظام التشغيل IOS XR Network OS من Cisco من برامج التوجيه المختلفة ، والتي تشمل أجهزة التوجيه NCS 540 و 560 و NCS 5500 و 8000 و ASR 9000. وحتى الآن ، لم تصدر Cisco أي تحديث برامج لهذه الثغرة الأمنية.
تفاصيل الخلل
- المعرّف الاستشاري: cisco-sa-iosxr-dvmrp-memexh-dSmpdvfz
- أول إصدار: 2020 29 أغسطس
- آخر تحديث: 2020 أغسطس 31
- الإصدار 2.0: مؤقت
- الحلول: لا توجد حلول بديلة
- معرفات CVE: CVE-2020-3566، CVE-2020-3569
- معرّفات أخطاء Cisco: CSCvr86414 ، CSCvv54838
- معرف CWE: CWE-400
- نقاط CVSS: Base 8.6
- المنتجات المتأثرة
تهاجم هذه الثغرات الأمنية أي جهاز Cisco يقوم بتشغيل أي إصدار من برنامج Cisco IOS XR إذا تم تكوين واجهة فعالة ضمن توجيه البث المتعدد
خبراء أمن سيسكو وقال أنهم اكتشفوا هذا الهجوم أثناء التحقيق. في 28 أغسطس 2020 ، أصبح فريق الاستجابة لحوادث أمان منتجات Cisco (PSIRT) على دراية بالاستغلال المغامر لهذه الثغرة الأمنية.
بصرف النظر عن هذا ، أكدت الشركة أنها تعمل حاليًا على إنشاء تحديثات برامج لـ IOS XR ، وسوف يستغرق الأمر وقتًا لإصدار التحديث.
ماذا تفعل لاكتشاف أو تحديد؟
حدد ما إذا كان توجيه البث المتعدد مسموحًا به
يمكن للمسؤول استنتاج ما إذا كان توجيه البث المتعدد مسموحًا به على الجهاز من خلال الإعلان عن استدعاء واجهة show igmp.
RP / 0/0 / CPU0: جهاز التوجيه # show igmp interface
حدد ما إذا كان الجهاز يحصل على زيارات DVMRP
في هذه الحالة ، يمكن للمسؤول استنتاج ما إذا كان الجهاز يحصل على حركة مرور DVMRP من خلال نشر الأمر show igmp traffic.
RP / 0/0 / CPU0: جهاز التوجيه # show igmp traffic
تخفيف
أصدرت الشركة بعض عوامل التخفيف التي يجب على المستخدمين اتباعها حتى تقوم الشركة بإصدار تحديث للبرنامج ، وهنا هم: -
يمكن للمستخدمين أداء تحديد المعدل لتقليل معدلات مرور IGMP. لذلك ، يمكن للمستخدمين زيادة الوقت المطلوب بسرعة لاستغلال هذه الثغرة الأمنية بنجاح.
يمكن للمستخدمين أيضًا إجراء إدخال التحكم في الوصول (ACE) إلى قائمة التحكم في الوصول للواجهة الحالية (ACL) أو قائمة التحكم بالوصول الجديدة لرفض حركة مرور DVRMP الواردة إلى الواجهات ذات التوجيه المتعدد المسموح به.
يجب على المستخدمين تعطيل توجيه IGMP على الواجهات حيث لا تكون معالجة حركة مرور IGMP مطلوبة عن طريق فتح وضع تكوين جهاز توجيه IGMP.
يمكن للمستخدمين تنفيذ جميع عمليات التخفيف من خلال تعيين الأمر router igmp.
علاوة على ذلك ، أكد الخبراء الأمنيون أنه لا يزال من غير الواضح كيف يمارس المهاجمون هذا الخطأ في الخطة الكبرى للأشياء. قد يستخدمونه للتأثير على طرق أخرى على جهاز التوجيه ، مثل آليات الأمان ، والوصول إلى الجهاز.