Une vulnérabilité dans Cisco IOS XR

Date de publication : 29/09/2022

Une vulnérabilité a été découverte dans Cisco IOS XR (le système d'exploitation des routeurs Cisco), société spécialisée dans les équipements réseau. L'exploitation de cette vulnérabilité permettrait à un attaquant distant d'effectuer une attaque par déni de service.

CVE-2020-3566 [Score CVSS v3 : 8.6] : Cette vulnérabilité existe en raison d'une gestion insuffisante des files d'attente pour les paquets IGMP (Internet Group Management Protocol) utilisés par le protocol DVMRP (Distance Vector Multicast Routing Protocol) de Cisco IOS XR. Un attaquant distant peut déclencher l'épuisement des ressources en envoyant un trafic IGMP spécialement conçu vers le dispositif affecté et effectuer une attaque par déni de service.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Déni de service

Criticité

Score CVSS v3 : 8.6

Existence d’un code d’exploitation

Aucun code d’exploitation n’est disponible publiquement à ce jour

Composants vulnérables

Cette vulnérabilité affecte tout appareil Cisco qui exécute une version quelconque du logiciel Cisco IOS XR si une interface active est configurée sous le routage multicast.

CVE

CVE-2020-3566

Solutions ou recommandations

Mise en place de correctifs de sécurité

Aucun correctif de sécurité n’est disponible à ce jour

Solution de contournement

Cisco propose un certain nombre de mesures de contournement dans son bulletin

Liens

Cisco IOS XR Software DVMRP Memory Exhaustion Vulnerability