Брешь существует из-за неправильной обработки сообщений об ошибках.
В IOS-XE от компании Cisco была устранена DoS-уязвимость, существующая из-за некорректной обработки сообщений об ошибках. Разработчики устранили брешь в обновлении до версии 3.13S.
Из уведомления на официальном сайте компании следует, что обнаружить недостаток удалось независимому исследователю безопасности. Он создал «функциональный эксплоит к уязвимости, однако не опубликовал его в открытом доступе».
В Cisco также отмечают, что проблема вызвана некорректной обработкой сообщений об ошибках, связанных с пересобранными пакетами данных: «Когда уязвимое устройство не смогло успешно выполнить повторную сборку, может появиться сообщение об ошибке ATTN-3-SYNC_TIMEOUT».
В результате этого ресурсы процессора могут быть полностью исчерпаны, что в итоге делает невозможным выполнение системных процессов.