思科在上周末警告說，其運營商級路由器上運行的Cisco IOS XR軟件中存在兩個嚴重的內存耗盡拒絕服務（DoS）漏洞，攻擊者正在試圖利用中。

　　關于漏洞

　　思科的IOS XR網絡操作系統(tǒng)已部署在多個路由器平臺上，包括NCS 540和560、NCS 5500、8000和ASR 9000系列路由器。

　　兩個零日漏洞——CVE-2020-3566和CVE-2020-3569 ，影響Cisco IOS XR軟件的距離矢量多播路由協(xié)議（DVMRP）功能，允許遠程未經身份驗證的攻擊者耗盡目標設備的內存。該功能運行在面向服務提供商、數據中心以及企業(yè)關鍵基礎架構的Cisco企業(yè)級路由器上。

　　未經授權的遠程攻擊者可以可以通過漏洞通過將精心制作的IGMP（Internet組管理協(xié)議）流量發(fā)送到受影響的設備來利用它們。

　　“成功的利用可導致設備內存耗盡，從而導致其他進程的不穩(wěn)定。這些進程可能包括但不限于內部和外部路由協(xié)議，”思科解釋。

　　要確定設備上是否啟用了多播路由，管理員可以運行show igmp interface命令。對于未啟用多播路由的IOS XR路由器，輸出將為空則設備不受CVE-2020-3566的影響。

　　思科尚未發(fā)布軟件更新來解決這一被積極利用的安全漏洞，但該公司在周末發(fā)布的安全公告中提供了緩解措施。

　　緩解措施

　　思科表示，管理員可以采取措施部分或完全消除可利用的攻擊向量，以緩解對設備CVE-2020-3566漏洞的攻擊：

　　·管理員可以實施速率限制以降低IGMP流量并延緩CVE-2020-3566的利用時間，同時也為恢復爭取時間。

　　·可以在現(xiàn)有ACL訪問控制列表上部署一個新的ACL或者ACE來拒絕流向啟用多播路由的接口的DVRMP入站流量。

　　·進入IGMP路由器配置模式，在不需要處理IGMP流量的接口上禁用IGMP路由。這可以通過輸入router igmp命令，使用interface選擇接口以及使用router disable禁用IGMP路由來完成。

　　上個月，思科修復了另一個嚴重性為嚴重并被積極利用的只讀路徑穿越漏洞，漏洞跟蹤代碼為CVE-2020-3452，該漏洞影響了思科自適應安全設備（ASA）軟件和思科Firepower威脅防御（FTD）軟件的Web服務接口。

　　一周前，該公司發(fā)布了另一組安全更新，以解決預身份驗證關鍵遠程代碼執(zhí)行（RCE），身份驗證繞過以及影響多個防火墻和路由器設備的靜態(tài)默認憑據漏洞，這些漏洞可能導致整個設備被接管。