CVE-2022-20679

Software Cisco IOS XE (versões afetadas não especificadas)

Uma vulnerabilidade na rotina de descriptografia IPSec pode permitir que um invasor remoto não autenticado force a reinicialização de um dispositivo afetado, resultando em uma condição de negação de serviço (DoS). Esse problema é causado pelo esgotamento do buffer que ocorre durante o processamento do tráfego em um túnel IPSec configurado. Um invasor poderia explorar essa vulnerabilidade enviando tráfego para um dispositivo afetado que tenha uma unidade máxima de transmissão (MTU) de 1.800 bytes ou mais. O invasor pode precisar de acesso à rede confiável onde o dispositivo afetado está localizado para enviar pacotes específicos a serem processados pelo dispositivo. Todos os dispositivos de rede entre o invasor e o dispositivo afetado devem suportar uma MTU de 1.800 bytes ou mais.

Para resolver o problema, atualize para uma versão do software Cisco IOS XE que inclua a correção para esta vulnerabilidade.

Como solução alternativa temporária, considere restringir o acesso ao túnel IPsec para minimizar o risco de exploração.

Restrinja o tamanho da MTU para menos de 1800 bytes em todos os dispositivos de rede entre o invasor e o dispositivo afetado para limitar a possibilidade de uma exploração bem-sucedida.

Aplique as soluções alternativas fornecidas pela Cisco que abordam esta vulnerabilidade.