ГлавнаяБаза уязвимостей БДУ → BDU:2023-01150
10критическая

BDU:2023-01150

Уязвимость реализации протокола обнаружения двунаправленной пересылки (BFD) операционной системы Cisco IOS XR маршрутизаторов Cisco ASR 9000, 9902, 9903, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2023-03-09
Описание

Уязвимость реализации протокола обнаружения двунаправленной пересылки (BFD) операционной системы Cisco IOS XR маршрутизаторов Cisco ASR 9000, 9902, 9903 связана с ошибками при обработке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании путем отправки специально сформированных BFD-пакетов по протоколу IPv4

Затрагиваемое ПО и версии
Cisco IOS XR (до 7.5.3)Cisco IOS XR (от 7.6.0 до 7.6.2)Cisco IOS XR (от 7.7.0 до 7.7.1)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- отключение функции аппаратной разгрузки BFD:
Для отключения функции аппаратной разгрузки BFD необходимо удалить все команды hw-module bfw-hw-offload enable и сбросить назначенную линейную карту путем последовательного выполнения следующих команд:
#config terminal
#no hw-module bfd-hw-offload enable __cpLocation 0/2/CPU0
#commit
#end
#hw-module subslot 0/2/CPU0 reload
- использование списков управления доступом к инфраструктуре (ACL):
iACL ограничивают поверхность атаки, но не предотвращают использование разрешенных одноранговых узлов и подвержены спуфингу.
В следующем примере показан iACL, разрешающий только одноранговые узлы инфраструктуры BFD (где 192.0.2.x/24 — адресное пространство инфраструктуры):
RP/0/RSP0/CPU0:ASR9006# show running-config ipv4 access-list
ipv4 access-list BFD_DROP
5 remark * Mark sure to Allow Legitimate BFD peers *
10 permit udp 192.0.2.0 0.0.0.255 192.0.2.0 0.0.0.255 eq bfd
11 remark * Depending on BFD deployment may need *
12 permit udp 192.0.2.0 0.0.0.255 192.0.2.0 0.0.0.255 eq 4784
13 permit udp 192.0.2.0 0.0.0.255 192.0.2.0 0.0.0.255 eq 6784
15 remark * Drop all other attempts to the infrastructure address space *
20 deny udp any 192.0.2.0 0.0.0.255 eq bfd
30 permit ipv4 any any
!
RP/0/RSP0/CPU0:ASR9006#

Использование рекомендаций производителя:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-bfd-XmRescbT

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-bfd-XmRescbT
Проверьте безопасность своего сайта и почты → Полная проверка домена