Уязвимость реализации протокола обнаружения двунаправленной пересылки (BFD) операционной системы Cisco IOS XR маршрутизаторов Cisco ASR 9000, 9902, 9903 связана с ошибками при обработке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании путем отправки специально сформированных BFD-пакетов по протоколу IPv4
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- отключение функции аппаратной разгрузки BFD:
Для отключения функции аппаратной разгрузки BFD необходимо удалить все команды hw-module bfw-hw-offload enable и сбросить назначенную линейную карту путем последовательного выполнения следующих команд:
#config terminal
#no hw-module bfd-hw-offload enable __cpLocation 0/2/CPU0
#commit
#end
#hw-module subslot 0/2/CPU0 reload
- использование списков управления доступом к инфраструктуре (ACL):
iACL ограничивают поверхность атаки, но не предотвращают использование разрешенных одноранговых узлов и подвержены спуфингу.
В следующем примере показан iACL, разрешающий только одноранговые узлы инфраструктуры BFD (где 192.0.2.x/24 — адресное пространство инфраструктуры):
RP/0/RSP0/CPU0:ASR9006# show running-config ipv4 access-list
ipv4 access-list BFD_DROP
5 remark * Mark sure to Allow Legitimate BFD peers *
10 permit udp 192.0.2.0 0.0.0.255 192.0.2.0 0.0.0.255 eq bfd
11 remark * Depending on BFD deployment may need *
12 permit udp 192.0.2.0 0.0.0.255 192.0.2.0 0.0.0.255 eq 4784
13 permit udp 192.0.2.0 0.0.0.255 192.0.2.0 0.0.0.255 eq 6784
15 remark * Drop all other attempts to the infrastructure address space *
20 deny udp any 192.0.2.0 0.0.0.255 eq bfd
30 permit ipv4 any any
!
RP/0/RSP0/CPU0:ASR9006#
Использование рекомендаций производителя:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-bfd-XmRescbT
| Балл | 10 — критическая опасность |