BDU:2023-01150: Уязвимость реализации протокола обнаружения двунаправленной пересылки (BFD) операционной системы Cisco IOS XR маршрутизаторов Cisco ASR 9000, 9902, 9903, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости Уязвимость реализации протокола обнаружения двунаправленной пересылки (BFD) операционной системы Cisco IOS XR маршрутизаторов Cisco ASR 9000, 9902, 9903 связана с ошибками при обработке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании путем отправки специально сформированных BFD-пакетов по протоколу IPv4
Вендор Cisco Systems Inc.
Наименование ПО Cisco IOS XR
Версия ПО
  • до 7.5.3
  • от 7.6.0 до 7.6.2
  • от 7.7.0 до 7.7.1
Тип ПО Операционная система
Операционные системы и аппаратные платформы
  • Cisco Systems Inc. Cisco IOS XR до 7.5.3 Cisco ASR 9900
  • Cisco Systems Inc. Cisco IOS XR до 7.5.3 Cisco ASR 9902
  • Cisco Systems Inc. Cisco IOS XR до 7.5.3 Cisco ASR 9903
  • Cisco Systems Inc. Cisco IOS XR от 7.6.0 до 7.6.2 Cisco ASR 9900
  • Cisco Systems Inc. Cisco IOS XR от 7.6.0 до 7.6.2 Cisco ASR 9902
  • Cisco Systems Inc. Cisco IOS XR от 7.6.0 до 7.6.2 Cisco ASR 9903
  • Cisco Systems Inc. Cisco IOS XR от 7.7.0 до 7.7.1 Cisco ASR 9900
  • Cisco Systems Inc. Cisco IOS XR от 7.7.0 до 7.7.1 Cisco ASR 9902
  • Cisco Systems Inc. Cisco IOS XR от 7.7.0 до 7.7.1 Cisco ASR 9903
Тип ошибки Недостаточная проверка вводимых данных
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 08.03.2023
Базовый вектор уязвимости
Уровень опасности уязвимости Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,6)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- отключение функции аппаратной разгрузки BFD:
Для отключения функции аппаратной разгрузки BFD необходимо удалить все команды hw-module bfw-hw-offload enable и сбросить назначенную линейную карту путем последовательного выполнения следующих команд:
#config terminal
#no hw-module bfd-hw-offload enable __cpLocation 0/2/CPU0
#commit
#end
#hw-module subslot 0/2/CPU0 reload
- использование списков управления доступом к инфраструктуре (ACL):
iACL ограничивают поверхность атаки, но не предотвращают использование разрешенных одноранговых узлов и подвержены спуфингу.
В следующем примере показан iACL, разрешающий только одноранговые узлы инфраструктуры BFD (где 192.0.2.x/24 — адресное пространство инфраструктуры):
RP/0/RSP0/CPU0:ASR9006# show running-config ipv4 access-list
ipv4 access-list BFD_DROP
5 remark * Mark sure to Allow Legitimate BFD peers *
10 permit udp 192.0.2.0 0.0.0.255 192.0.2.0 0.0.0.255 eq bfd
11 remark * Depending on BFD deployment may need *
12 permit udp 192.0.2.0 0.0.0.255 192.0.2.0 0.0.0.255 eq 4784
13 permit udp 192.0.2.0 0.0.0.255 192.0.2.0 0.0.0.255 eq 6784
15 remark * Drop all other attempts to the infrastructure address space *
20 deny udp any 192.0.2.0 0.0.0.255 eq bfd
30 permit ipv4 any any
!
RP/0/RSP0/CPU0:ASR9006#

Использование рекомендаций производителя:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-bfd-XmRescbT
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование ресурсами
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения