Cisco waarschuwt voor actief misbruikte zero-day in IOS XR

Cisco waarschuwt voor een nieuwe zero-day kwetsbaarheid die impact heeft op het Internetwork Operating System (IOS), dat standaard geleverd onderdeel is van Cisco netwerkapparatuur. De zero-day is een actief doelwit van hackers. 

De kwetsbaarheid heeft de naam CVE-2020-3566 en heeft impact op de Distance Vector Multicast Routing Protocol (DVMRP) functie. Deze functie is onderdeel van de IOS XR versie van het besturingssysteem. Volgens Cisco is deze versie van het besturingssysteem vooral geïnstalleerd op carrier grade- en datacenter routers. 

De DVMRP-functie bevat een fout waardoor niet-geverifieerde aanvallers het procesgeheugen kunnen uitputten en andere processen die op het apparaat draaien kunnen laten crashen. 

Cisco verklaart de zero-day als volgt: “De kwetsbaarheid wordt veroorzaakt door onvoldoende wachtrijbeheer voor Internet Group Management Protocol (IGMP)-paketten. Een aanvaller kan misbruik van de kwetsbaarheid maken door zelfgemaakt IGMP-verkeer naar een aangetast apparaat te sturen. Met een succesvol misbruik kan een aanvaller het beschikbare geheugen verzadigen. Dat zorgt voor instabiliteit van andere processen. Deze processen omvatten onder andere interne en externe routing-protocollen.”

Patch nog in ontwikkeling

Afgelopen week werd de zero-day in Cisco apparaten actief gebruikt door aanvallers. Cisco ontdekte de aanvallen door een ondersteuningsvraag waar het support-team van het bedrijf aan werkte. Momenteel werkt Cisco aan het ontwikkelen van softwareupdates voor IOS XR om het probleem op te lossen. 

Het gaat waarschijnlijk nog enkele dagen duren voordat de patch beschikbaar is. Voor gebruikers van apparaten met het IOS XR-besturingssysteem is het verstandig om de ontwikkelingen nauwlettend in de gaten te houden en de patch snel te installeren. Ondertussen biedt Cisco meerdere omwegen en mitigaties voor zijn klanten. Op deze manier voorkomen klanten dat hackers de fout in hun systemen kunnen misbruiken.

Naast de omwegen stelde Cisco ook een beveiligingsadvies op waarin het bedrijf zijn klanten instructies geeft over hoe ze zien of de zero-day in hun IOS-systemen zijn aangevallen. 

Het is nog onbekend wat voor motief hackers hebben om gebruik te maken van de zero-days. Mogelijk gebruiken hackers de zero-day om andere processen op de router, zoals beveiligingsmechanismen te laten crashen en toegang tot het apparaat te krijgen. Dit is echter slechts een theorie. Toch is het verstandig voor bedrijven om hun systemen goed na te kijken om te zien of hackers gebruik hebben gemaakt van de zero-day in hun systeem.