Уязвимость обработки входящих пакетов уровня 2 Ethernet VPN (EVPN) коммутаторов платформы Cisco Nexus 3600 и коммутационных платформ Cisco Nexus 9500-R может позволить неаутентифицированному соседнему злоумышленнику вызвать петлю трафика уровня 2. Эта уязвимость связана с логической ошибкой при обработке созданного входного кадра уровня 2. Злоумышленник может воспользоваться этой уязвимостью, отправив поток специально созданных кадров Ethernet через целевое устройство.
Успешный эксплойт может позволить злоумышленнику создать петлю трафика виртуальной расширяемой локальной сети (VxLAN) уровня 2, что, в свою очередь, может привести к отказу в обслуживании (DoS). Эта петля уровня 2 может привести к превышению пропускной способности сетевых интерфейсов, что приведет к отбрасыванию всего трафика плоскости данных. Чтобы воспользоваться этой уязвимостью, злоумышленник должен быть смежным на уровне 2 с уязвимым устройством.
Примечание. Чтобы остановить активную эксплуатацию этой уязвимости, необходимо вмешательство вручную, чтобы остановить созданный трафик и отключить все задействованные сетевые интерфейсы. Для получения дополнительной помощи при подозрении на петлю уровня 2, связанную с этой уязвимостью, обратитесь в центр технической поддержки Cisco (TAC) или к соответствующему поставщику поддержки.
Показать оригинальное описание (EN)
A vulnerability with the Ethernet VPN (EVPN) Layer 2 ingress packet processing of Cisco Nexus 3600 Platform Switches and Cisco Nexus 9500-R Series Switching Platforms could allow an unauthenticated, adjacent attacker to trigger a Layer 2 traffic loop. This vulnerability is due to a logic error when processing a crafted Layer 2 ingress frame. An attacker could exploit this vulnerability by sending a stream of crafted Ethernet frames through the targeted device. A successful exploit could allow the attacker to cause a Layer 2 Virtual eXtensible LAN (VxLAN) traffic loop, which, in turn, could result in a denial of service (DoS) condition. This Layer 2 loop could oversubscribe the bandwidth on network interfaces, which would result in all data plane traffic being dropped. To exploit this vulnerability, the attacker must be Layer 2-adjacent to the affected device. Note: To stop active exploitation of this vulnerability, manual intervention is required to both stop the crafted traffic and flap all involved network interfaces. For additional assistance if a Layer 2 loop that is related to this vulnerability is suspected, contact the Cisco Technical Assistance Center (TAC) or the proper support provider.
Характеристики атаки
Последствия
Строка CVSS v3.1