A vulnerabilidade ocorre em nível de operadora e é considerada do tipo zero-day, ou seja, ocorreu antes mesmo dos desenvolvedores poderem agir.
No último sábado, 29, a fabricante de roteadores Cisco Systems revelou que na semana passada alguns usuários sofreram ataques por parte de hackers. Os invasores exploraram uma vulnerabilidade zero-day capaz de afetar um recurso presente na versão XR do sistema operacional Internetwork Operating System (IOS), dos equipamentos de rede da companhia.
O caso se enquadra na classificação de dia zero, pois os hackers encontraram a vulnerabilidade, chamada de CVE-2020-3566, antes mesmo que os desenvolvedores. Ela envolve o recurso Distance Vector Multicast Routing Protocol (DVMRP), que porta um bug que dá a um usuário remoto não autenticado permissão para esgotar a memória e travar processos em execução do dispositivo roteador.
Em comunicado, a Cisco declarou que a falha foi identificada no dia 28 de agosto, data na qual a sua equipe de segurança tomou conhecimento dos ataques. A identificação ocorreu durante atendimentos de suporte e reclamações da empresa e tende a afetar justamente a versão do sistema operacional que é mais comum em roteadores de nível de operadora e de data center.
Como ocorrem os ataques
O problema, segundo a companhia, ocorre por meio de um "gerenciamento de fila insuficiente" para os pacotes Internet Group Management Protocol (IGP). Esse último faz parte do protocolo IP e gerencia os grupos de multicast, administrando a entrada e a saída de convidados (hosts, em inglês).
Assim, o que o hacker faz é explorar a ineficiência e enviar tráfego IGMP para um dispositivo."Uma exploração bem-sucedida pode permitir que o invasor cause esgotamento da memória, resultando em instabilidade de outros processos. Esses processos podem incluir, mas não estão limitados a, protocolos de roteamento internos e externos", alertou a Cisco.
Visto isso, a empresa não sabe ao certo se o bug é útil para os hackers de outras formas mais invasivas, que vão além do esgotamento de dados. Uma teoria seria que talvez os invasores o utilizem para travar processos de segurança para obterem acesso ao dispositivo, mas isso ainda está sendo investigado.
Solução
Por enquanto, o problema só será solucionado dentro de alguns dias, enquanto medidas estão sendo tomadas para criar atualizações gratuitas do software para a versão XR. Por ora, segundo a Cisco, apenas alternativas atenuantes estão sendo oferecidas aos usuários, como o aconselhamento do uso de limitador de taxa.
Os clientes poderão baixar o software aprimorado, contanto que esse seja para o qual eles já tenham uma licença válida, "adquirida diretamente da Cisco ou por meio de um revendedor ou parceiro autorizado", de acordo com um comunicado da companhia. A empresa também orienta a investigação de logs do sistema para a verificação da vulnerabilidade. Para mais informações, acesse o site oficial da transnacional.
Fonte: Cisco
