Cisco IOS XR 0 day漏洞利用预警

  • A+
所属分类:安全文章 安全漏洞

Cisco IOS XR 0 day漏洞利用预警

Cisco IOS XR 0 day漏洞利用预警

上周末,思科官方发布安全公告称攻击者正在尝试利用Cisco IOS XR软件中的一个高危内存耗尽DoS 漏洞。Cisco IOS XR软件是运行在运营商级路由器上的。IOS XR网络操作系统部署在多个路由器平台上,包括NCS 540 、560、 NCS 5500、8000和ASR 9000系列路由器。

Cisco IOS XR 0 day漏洞利用预警
漏洞分析

该漏洞CVE编号为CVE-2020-3566,存在于IOS XR软件中的距离向量多播路由协议(Distance Vector Multicast Routing Protocol,DVMRP)特征中,是由于IGMP(互联网组管理协议,Internet Group Management Protocol)包的排队管理不足导致的。攻击者可以通过发送伪造的IGMP包到受影响的设备来利用该漏洞。远程攻击者成功利用该漏洞后,可以在未认证的情况下消耗目标设备的内存,引发其他进程不稳定,其中包括内部和外部路由协议。

Cisco IOS XR 0 day漏洞利用预警
漏洞影响

思科安全公告中称,该漏洞影响所有运行Cisco IOS XR软件,并且活动端口配置了多播路由的思科设备。为确定设备上是否启用了多播路由,管理员可以运行show igmp interface命令。如果IOS XR路由器没有启用多播路由,输出为空,即不受到该漏洞的影响。

对受该漏洞影响的设备,管理员可以通过查看系统日志消息来检查设备是否被攻击,系统日志消息示例如下:

Cisco IOS XR 0 day漏洞利用预警

Cisco IOS XR 0 day漏洞利用预警
漏洞在野利用vs缓解措施

8月28日,思科研究人员发现该漏洞可能被在野利用。但思科目前还未发布修复该漏洞的安全补丁,但思科在安全公告中给出了一些缓解的方法。

· 管理员可以通过限制速率来减少IGMP流量速率,增加成功利用漏洞所需要的时间。

· 用户可以向现有端口访问控制列表(ACL)中添加访问控制记录,或创建新的ACL来拒绝启用了多播路由的DVRMP流量。

思科建议进入IGMP路由器配置模式在无需处理IGMP流量的端口上禁用IGMP路由。此外,还可以通过router igmp命令、使用interface选定端口、使用router disable禁用IGMP。

思科发布的安全公告地址:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxr-dvmrp-memexh-dSmpdvfz

参考及来源:https://www.bleepingcomputer.com/news/security/cisco-warns-of-actively-exploited-bug-in-carrier-grade-routers/

Cisco IOS XR 0 day漏洞利用预警

Cisco IOS XR 0 day漏洞利用预警

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: