思科今天警告说,针对针对CVE-2020-3118高严重性漏洞的攻击将被发现,该漏洞会影响运行该公司Cisco IOS XR软件的多个电信级路由器。
在 IOS XR操作系统的网络上部署多种思科路由器平台包括NCS 540 560,NCS 5500,8000和ASR 9000个系列路由器。
如果第三方白盒路由器和以下Cisco产品运行易受攻击的Cisco IOS XR软件版本,并且在至少一个接口和全局范围上均启用了Cisco Discovery协议,则该漏洞会影响到该第三方思科产品
- ASR 9000系列汇聚服务路由器
- 运营商路由系统(CRS)
- IOS XRv 9000路由器
- 网络融合系统(NCS)540系列路由器
- 网络融合系统(NCS)560系列路由器
- 网络融合系统(NCS)1000系列路由器
- 网络融合系统(NCS)5000系列路由器
- 网络融合系统(NCS)5500系列路由器
- 网络融合系统(NCS)6000系列路由器
攻击始于十月
更新后的通报中写道:“ 2020年10月,思科产品安全事件响应团队(PSIRT)收到了有关在野外尝试利用此漏洞的报告。”
“思科建议客户升级到固定的Cisco IOS XR软件版本以纠正此漏洞。”
如今,美国国家安全局(NSA)也将CVE-2020-3118列入了目前由中国政府资助的威胁参与者针对或利用的25个安全漏洞中。
攻击者可以通过向运行易受攻击的IOS XR版本的设备发送恶意的Cisco发现协议数据包来利用此漏洞。
成功的利用可能使攻击者触发堆栈溢出,从而可能导致在目标设备上以管理特权执行任意代码。
幸运的是,即使此Cisco发现协议格式字符串漏洞可能导致远程执行代码,它也只能由与受攻击的设备位于同一广播域中的未经身份验证的相邻攻击者(与2层相邻)利用。
提供安全更新
思科于2020年2月修复了CVE-2020-3118安全漏洞,以及由物联网安全公司Armis发现的四个其他严重漏洞,并统称为 CDPwn。
下表中显示了针对此漏洞的修复程序所包含的发行版的当前状态(有关可用软件维护升级的更多信息,请参见此处)。
包括禁用缓解细节思科发现协议全局和接口也都在提供咨询 的谁也不能立即应用此安全更新的客户。
| Cisco IOS XR软件版本 | 此漏洞的第一个固定版本 |
|---|---|
| 早于6.6 | 适当的SMU |
| 6.6 1 | 6.6.3或适当的SMU |
| 7.0 | 7.0.2(2020年3月)或适当的SMU |
| 7.1 | 不脆弱 |
Armis Ben Seri研究副总裁说:“这项研究的发现意义重大,因为第2层协议是所有网络的基础,而攻击面是研究不足的领域,但却是实现网络分段的基础。”表示CDPwn漏洞被披露时。
“网络分段通常被用作提供安全性的一种手段。不幸的是,正如本研究所强调的那样,网络基础架构本身处于危险之中,并且可以被攻击者利用,因此网络分段不再是一种有保证的安全策略。”
更新:添加了有关中国政府资助的攻击者针对CVE-2020-3118的信息。
*编译:Domino
*来自:bleepingcomputer