思科路由器曝出两个严重零日漏洞,已被野外利用
思科在上周末警告说,其运营商级路由器上运行的Cisco IOS XR软件中存在两个严重的内存耗尽拒绝服务(DoS)漏洞,攻击者正在试图利用中。
关于漏洞
思科的 IOS XR网络操作系统已部署在多个路由器平台上,包括NCS 540和560,NCS 5500、8000和ASR 9000系列路由器。
两个零日漏洞—— CVE-2020-3566和CVE-2020-3569 ,影响Cisco IOS XR软件的距离矢量多播路由协议(DVMRP)功能,允许远程未经身份验证的攻击者耗尽目标设备的内存。该功能运行在面向服务提供商、数据中心以及企业关键基础架构的Cisco企业级路由器上。
未经授权的远程攻击者可以可以通过漏洞通过将精心制作的IGMP(Internet组管理协议)流量发送到受影响的设备来利用它们。
成功的利用可导致设备内存耗尽,从而导致其他进程的不稳定。这些进程可能包括但不限于内部和外部路由协议,”思科解释。
要确定设备上是否启用了多播路由,管理员可以运行 show igmp interface命令。对于未启用多播路由的IOS XR路由器,输出将为空则设备不受CVE-2020-3566的影响。
思科尚未发布软件更新来解决这一被积极利用的安全漏洞,但该公司在周末发布的安全公告中提供了缓解措施。
缓解措施
思科表示,管理员可以采取措施部分或完全消除可利用的攻击向量,以缓解对设备CVE-2020-3566漏洞的攻击:
·管理员可以实施速率限制以降低IGMP流量并延缓CVE-2020-3566的利用时间,同时也为恢复争取时间。
·可以在现有ACL访问控制列表上部署一个新的ACL或者ACE来拒绝流向启用多播路由的接口的DVRMP入站流量。
·进入IGMP路由器配置模式,在不需要处理IGMP流量的接口上禁用IGMP路由。这可以通过输入router igmp命令,使用interface选择接口以及使用router disable禁用IGMP路由来完成。
上个月,思科修复了另一个严重性为严重并被积极利用的只读路径穿越漏洞,漏洞跟踪代码为CVE-2020-3452,该漏洞影响了思科自适应安全设备(ASA)软件和思科Firepower威胁防御(FTD)软件的Web服务接口。
一周前,该公司发布了另一组安全更新,以解决预身份验证关键远程代码执行(RCE),身份验证绕过以及影响多个防火墙和路由器设备的静态默认凭据漏洞,这些漏洞可能导致整个设备被接管。