思科在上周末警告說，其運營商級路由器上運行的Cisco IOS XR軟件中存在兩個嚴重的內存耗盡拒絕服務（DoS）漏洞，攻擊者正在試圖利用中。

　　關于漏洞

　　思科的IOS XR網絡操作系統已部署在多個路由器平臺上，包括NCS 540和560、NCS 5500、8000和ASR 9000系列路由器。

　　兩個零日漏洞——CVE-2020-3566和CVE-2020-3569 ，影響Cisco IOS XR軟件的距離矢量多播路由協議（DVMRP）功能，允許遠程未經身份驗證的攻擊者耗盡目標設備的內存。該功能運行在面向服務提供商、數據中心以及企業關鍵基礎架構的Cisco企業級路由器上。

　　未經授權的遠程攻擊者可以可以通過漏洞通過將精心制作的IGMP（Internet組管理協議）流量發送到受影響的設備來利用它們。

　　“成功的利用可導致設備內存耗盡，從而導致其他進程的不穩定。這些進程可能包括但不限于內部和外部路由協議，”思科解釋。

　　要確定設備上是否啟用了多播路由，管理員可以運行show igmp interface命令。對于未啟用多播路由的IOS XR路由器，輸出將為空則設備不受CVE-2020-3566的影響。

　　思科尚未發布軟件更新來解決這一被積極利用的安全漏洞，但該公司在周末發布的安全公告中提供了緩解措施。

　　緩解措施

　　思科表示，管理員可以采取措施部分或完全消除可利用的攻擊向量，以緩解對設備CVE-2020-3566漏洞的攻擊：

　　·管理員可以實施速率限制以降低IGMP流量并延緩CVE-2020-3566的利用時間，同時也為恢復爭取時間。

　　·可以在現有ACL訪問控制列表上部署一個新的ACL或者ACE來拒絕流向啟用多播路由的接口的DVRMP入站流量。

　　·進入IGMP路由器配置模式，在不需要處理IGMP流量的接口上禁用IGMP路由。這可以通過輸入router igmp命令，使用interface選擇接口以及使用router disable禁用IGMP路由來完成。

　　上個月，思科修復了另一個嚴重性為嚴重并被積極利用的只讀路徑穿越漏洞，漏洞跟蹤代碼為CVE-2020-3452，該漏洞影響了思科自適應安全設備（ASA）軟件和思科Firepower威脅防御（FTD）軟件的Web服務接口。

　　一周前，該公司發布了另一組安全更新，以解決預身份驗證關鍵遠程代碼執行（RCE），身份驗證繞過以及影響多個防火墻和路由器設備的靜態默認憑據漏洞，這些漏洞可能導致整個設備被接管。