思科发布了一份安全公告,解决其IOS XR软件中的拒绝服务(DoS)漏洞。该漏洞被识别为cve -2025- 2015,影响边界网关协议(BGP)联盟的实现。
该公告警告称,该漏洞可能允许“未经身份验证的远程攻击者造成拒绝服务(DoS)状况”。此漏洞源于“当使用具有255个自治系统编号(AS编号)的AS_CONFED_SEQUENCE属性创建BGP更新时发生的内存损坏”。
攻击者可以通过发送精心制作的BGP更新消息来利用此漏洞。此外,网络可以这样设计:“AS_CONFED_SEQUENCE属性增长到255个AS数或更多”,这也可能触发漏洞。成功利用可能导致内存损坏,可能导致BGP进程重新启动并导致DoS条件。
该建议强调,要利用此漏洞,攻击者必须控制与受害者在同一自治系统中的BGP联盟发言人,或者网络必须设计为允许AS_CONFED_SEQUENCE属性达到255或更多as号。
在发布时,该漏洞影响了配置了BGP联盟的思科IOS XR软件。管理员可以使用 show running-config router bgp EXEC CLI命令确定设备是否存在漏洞。如果路由器配置了BGP,该命令将输出信息。但是,只有当输出中也存在 bgp confederation peers 配置命令时,才认为设备存在漏洞。
幸运的是,思科提供了一个解决方案来缓解这个漏洞。存在该漏洞的部分原因是BGP AS_CONFED_SEQUENCE属性可以有255个或更大的AS号。解决方法是将此BGP属性限制为254或更少的AS号。这可以通过使用路由策略在联盟对等体上删除长AS路径长度的BGP更新来实现。
下面是咨询中提供的路由策略示例:
route-policy max-asnsif as-path length ge 254 thendropelsepassendifend-policyrouter bgp 64500bgp confederation peers6450164502!bgp confederation identifier 64511 neighbor 192.168.0.1remote-as 64501address-family ipv4 unicastpolicy max-asns inpolicy max-asns out
思科建议客户在自己的环境和特定的使用条件下仔细评估任何解决方案的适用性和有效性。
思科已经发布了软件更新来解决这个漏洞。以下是受影响版本和相应修复的摘要:
Cisco IOS XR Software Release 7.11及更早版本:迁移到固定版本。
Cisco IOS XR软件版本24.1及更早版本:迁移到固定版本。
Cisco IOS XR软件版本24.2:升级到版本24.2.21(未来版本)。
思科IOS XR软件版本24.3:升级到版本24.3.1。
思科IOS XR软件发布24.4:不受影响。
思科的PSIRT已注意到有关此问题的公开公告。虽然该声明不是针对思科IOS XR软件的,但它强调了在BGP中制作无穷as路径的更广泛问题。目前,思科PSIRT没有发现任何恶意使用该漏洞的行为。
思科敦促用户仔细阅读这一建议,并采取适当的措施来降低风险。
原文始发于微信公众号(HackSee):思科警告公开披露cve -2025- 2015 - BGP漏洞使网络处于危险之中
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论