Cisco IOS XE Software Ethernet Virtual Private Network Border Gateway Protocol Denial-of-Service Vulnerability — A vulnerability in the Border Gateway Protocol (BGP) over an Ethernet Virtual Private Network (EVPN) for Cisco IOS XE Software could allow an unauthenticated, remote attacker to cause the device to reload, resulting in a denial of service (DoS) condition, or potentially corrupt the BGP routing table, which could result in network instability.
CVE-2017-12319 is a critical vulnerability in Cisco IOS XE Software affecting BGP over EVPN that allows an unauthenticated remote attacker to cause device reload (DoS) or corrupt BGP routing tables, leading to network instability. With a CVSS score of 9.0 and known exploits available, this vulnerability poses severe risk to network infrastructure. The ability to disrupt BGP routing can cause cascading failures across interconnected networks. A patch is available from Cisco and should be applied immediately.
1. IMMEDIATE ACTIONS:
- Identify all Cisco IOS XE devices running BGP with EVPN configurations using 'show bgp l2vpn evpn summary'
- Apply Cisco security advisory patches immediately (cisco-sa-20171004-evpn)
- Monitor BGP sessions for unexpected resets or routing table anomalies
2. PATCHING GUIDANCE:
- Upgrade Cisco IOS XE to the fixed software versions specified in Cisco's advisory
- Schedule emergency maintenance windows for critical routing infrastructure
- Test patches in lab environment before production deployment
3. COMPENSATING CONTROLS:
- Implement BGP TTL Security Hack (GTSM) to limit BGP session establishment to directly connected peers
- Configure BGP maximum-prefix limits to detect routing table corruption
- Enable BGP route dampening and implement prefix filtering
- Use control plane policing (CoPP) to rate-limit BGP traffic
- Implement BGP peer authentication using MD5 or TCP-AO
4. DETECTION RULES:
- Monitor for unexpected BGP session flaps via SNMP traps and syslog
- Alert on device reloads correlated with BGP EVPN activity
- Implement NetFlow/IPFIX monitoring for anomalous BGP traffic patterns
- Create IDS/IPS signatures for malformed BGP EVPN UPDATE messages
1. إجراءات فورية:
- تحديد جميع أجهزة Cisco IOS XE التي تشغل BGP مع تكوينات EVPN باستخدام 'show bgp l2vpn evpn summary'
- تطبيق تصحيحات Cisco الأمنية فوراً (cisco-sa-20171004-evpn)
- مراقبة جلسات BGP للكشف عن إعادة التعيين غير المتوقعة أو شذوذ جداول التوجيه
2. إرشادات التصحيح:
- ترقية Cisco IOS XE إلى إصدارات البرامج المصححة المحددة في إرشادات Cisco
- جدولة نوافذ صيانة طارئة للبنية التحتية الحرجة للتوجيه
- اختبار التصحيحات في بيئة مختبرية قبل النشر في الإنتاج
3. ضوابط تعويضية:
- تنفيذ BGP TTL Security Hack (GTSM) لتقييد إنشاء جلسات BGP للأقران المتصلين مباشرة
- تكوين حدود البادئة القصوى لـ BGP للكشف عن تلف جدول التوجيه
- تمكين تخميد مسار BGP وتنفيذ تصفية البادئات
- استخدام سياسات مستوى التحكم (CoPP) لتحديد معدل حركة BGP
- تنفيذ مصادقة أقران BGP باستخدام MD5 أو TCP-AO
4. قواعد الكشف:
- مراقبة تقلبات جلسات BGP غير المتوقعة عبر SNMP وسجلات النظام
- التنبيه عند إعادة تشغيل الأجهزة المرتبطة بنشاط BGP EVPN
- تنفيذ مراقبة NetFlow/IPFIX لأنماط حركة BGP الشاذة
- إنشاء توقيعات IDS/IPS لرسائل BGP EVPN UPDATE المشوهة