Cisco informe les clients de ses commutateurs de centre de données Nexus de base pour corriger ou contourner une vulnérabilité qui pourrait laisser les boîtes ouvertes à une attaque par déni de service.
La vulnérabilité, trouvée dans le logiciel Nexus NX-OS, obtient un score de 8,6 sur 10 sur le Common Vulnerability Scoring System, ce qui en fait un problème à risque «élevé».
Cisco a déclaré que la vulnérabilité était due à un périphérique affecté qui décapsulait et traitait de manière inattendue les paquets IP-in-IP destinés à une adresse IP configurée localement. IP in IP est un protocole de tunneling qui enveloppe un paquet IP dans un autre paquet IP.
«Un exploit réussi pourrait entraîner la décapsulation inattendue du périphérique IP-in-IP et le transfert du paquet IP interne. Cela peut entraîner des paquets IP contournant les listes de contrôle d’accès en entrée (ACL) configurées sur le périphérique affecté ou d’autres limites de sécurité définies ailleurs dans le réseau », a déclaré Cisco. « Dans certaines conditions, un exploit pourrait entraîner le blocage et le redémarrage du processus de pile réseau à plusieurs reprises, entraînant un rechargement de l’appareil affecté et une condition DoS. »
La vulnérabilité affecte une variété de commutateurs Nexus du Nexus 1000 Virtual Edge pour VMware vSphere à la Nexus 9000 Series.
Cisco a déclaré qu’une solution de contournement consiste à configurer les listes de contrôle d’accès à l’infrastructure (iACL) pour ne laisser que la gestion requise et le trafic du plan de contrôle atteindre le périphérique affecté, comme recommandé dans le Guide Cisco pour la sécurisation des périphériques logiciels NX-OS.
«Les clients peuvent également envisager de refuser explicitement tous les paquets IP avec le numéro de protocole 4 (correspondant aux paquets IP-in-IP) dans le cadre de leurs iACL, si aucun trafic IP-in-IP légitime n’est utilisé dans leur réseau. Une politique de contrôle du plan de contrôle (CoPP) personnalisée peut également être utilisée pour supprimer le trafic IP-in-IP destiné à un périphérique affecté; cependant, la prise en charge de la personnalisation CoPP varie selon les plates-formes Nexus et les versions logicielles. »
Les clients sont invités à contacter leur organisation d’assistance pour obtenir de l’aide afin d’évaluer la faisabilité d’une solution de contournement et d’en implémenter une sur un appareil affecté, a déclaré Cisco. Cisco a également déclaré que le vérificateur de logiciels Cisco identifie les avis de sécurité Cisco qui affectent des versions spécifiques du logiciel Cisco NX-OS et nomme la première version corrigeant les vulnérabilités décrites dans chaque avis, appelée «First Fixed».
En outre, la société a déclaré avoir publié des mises à jour logicielles gratuites qui corrigent la vulnérabilité.