思科在上周末警告說,，其運(yùn)營(yíng)商級(jí)路由器上運(yùn)行的Cisco IOS XR軟件中存在兩個(gè)嚴(yán)重的內(nèi)存耗盡拒絕服務(wù)（DoS）漏洞,，攻擊者正在試圖利用中,。

　　關(guān)于漏洞

　　思科的IOS XR網(wǎng)絡(luò)操作系統(tǒng)已部署在多個(gè)路由器平臺(tái)上,，包括NCS 540和560,、NCS 5500,、8000和ASR 9000系列路由器。

　　兩個(gè)零日漏洞——CVE-2020-3566和CVE-2020-3569 ,，影響Cisco IOS XR軟件的距離矢量多播路由協(xié)議（DVMRP）功能,，允許遠(yuǎn)程未經(jīng)身份驗(yàn)證的攻擊者耗盡目標(biāo)設(shè)備的內(nèi)存。該功能運(yùn)行在面向服務(wù)提供商,、數(shù)據(jù)中心以及企業(yè)關(guān)鍵基礎(chǔ)架構(gòu)的Cisco企業(yè)級(jí)路由器上,。

　　未經(jīng)授權(quán)的遠(yuǎn)程攻擊者可以可以通過漏洞通過將精心制作的IGMP（Internet組管理協(xié)議）流量發(fā)送到受影響的設(shè)備來利用它們。

　　“成功的利用可導(dǎo)致設(shè)備內(nèi)存耗盡,，從而導(dǎo)致其他進(jìn)程的不穩(wěn)定,。這些進(jìn)程可能包括但不限于內(nèi)部和外部路由協(xié)議，”思科解釋,。

　　要確定設(shè)備上是否啟用了多播路由,，管理員可以運(yùn)行show igmp interface命令,。對(duì)于未啟用多播路由的IOS XR路由器，輸出將為空則設(shè)備不受CVE-2020-3566的影響,。

　　思科尚未發(fā)布軟件更新來解決這一被積極利用的安全漏洞,，但該公司在周末發(fā)布的安全公告中提供了緩解措施。

　　緩解措施

　　思科表示,，管理員可以采取措施部分或完全消除可利用的攻擊向量,，以緩解對(duì)設(shè)備CVE-2020-3566漏洞的攻擊：

　　·管理員可以實(shí)施速率限制以降低IGMP流量并延緩CVE-2020-3566的利用時(shí)間，同時(shí)也為恢復(fù)爭(zhēng)取時(shí)間,。

　　·可以在現(xiàn)有ACL訪問控制列表上部署一個(gè)新的ACL或者ACE來拒絕流向啟用多播路由的接口的DVRMP入站流量,。

　　·進(jìn)入IGMP路由器配置模式，在不需要處理IGMP流量的接口上禁用IGMP路由,。這可以通過輸入router igmp命令,，使用interface選擇接口以及使用router disable禁用IGMP路由來完成。

　　上個(gè)月,，思科修復(fù)了另一個(gè)嚴(yán)重性為嚴(yán)重并被積極利用的只讀路徑穿越漏洞,，漏洞跟蹤代碼為CVE-2020-3452，該漏洞影響了思科自適應(yīng)安全設(shè)備（ASA）軟件和思科Firepower威脅防御（FTD）軟件的Web服務(wù)接口,。

　　一周前,，該公司發(fā)布了另一組安全更新，以解決預(yù)身份驗(yàn)證關(guān)鍵遠(yuǎn)程代碼執(zhí)行（RCE）,，身份驗(yàn)證繞過以及影響多個(gè)防火墻和路由器設(shè)備的靜態(tài)默認(rèn)憑據(jù)漏洞,，這些漏洞可能導(dǎo)致整個(gè)設(shè)備被接管。