Cisco предупредила о 0Day-уязвимости в IOS XR

Производитель сетевого оборудования Cisco выпустил предупреждение об уязвимости нулевого дня в операционной системе IOS (Internetwork Operating System), поставляемой в составе решений компании.

Уязвимость ( CVE-2020-3566 , CVE-2020-3569) содержится в функции DVMRP и позволяет неаутентифицированному атакующему удаленно истощить процесс обработки памяти и вызвать сбой в работе других процессов, запущенных на устройстве. Как пояснили инженеры компании, проблема связана с некорректным управлением пакетами IGMP (Internet Group Management Protocol). Атакующий может воспользоваться данной уязвимостью путем отправки вредоносного IGMP трафика на уязвимое устройство.

Специалисты компании предупредили , что злоумышленники уже эксплуатируют указанную уязвимость в реальных атаках, но более конкретной информации о попытках эксплуатации производитель не предоставил.

Инженеры уже готовят обновление ОС, устраняющее проблему, а пока компания предложила временные меры по предотвращению эксплуатации CVE-2020-3566 и CVE-2020-3569.