Уязвимость реализации протокола маршрутизации BGP операционных систем Cisco IOS XR связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании путем отправки специально сформированного BGP-запроса
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- настройка политики маршрутизации для фильтрации обновлений BGP, поступающих от автономных систем (AS) с длиной пути выше допустимого следующим образом:
route-policy max-asns
if as-path length ge 254 then
drop
else
pass
endif
end-policy
router bgp 64500
bgp confederation peers
64501
64502
!
bgp confederation identifier 64511 neighbor 192.168.0.1
remote-as 64501
address-family ipv4 unicast
policy max-asns in
policy max-asns out
- использование SIEM-систем для отслеживания попыток эксплуатации уязвимости.
Использование рекомендаций:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxr-bgp-dos-O7stePhX
| Балл | 7.8 — высокая опасность |