一 漏洞概述

Cisco公司于2020年8月29日官方发布漏洞预警，Cisco IOS-XR系列中的距离矢量多播路由协议（DVMRP）存在一个Bug，未经身份验证的远程攻击者利用此bug，导致设备内存耗尽并使其它进程崩溃，其漏洞编号为CVE-2020-3566。

该漏洞CVE编号为CVE-2020-3566，存在于IOS XR软件中的距离向量多播路由协议（Distance Vector Multicast Routing Protocol，DVMRP）特征中，是由于IGMP（互联网组管理协议，Internet Group Management Protocol）包的排队管理不足导致的。攻击者可以通过发送伪造的IGMP包到受影响的设备来利用该漏洞。独步远程攻击者成功利用该漏洞后，可以在未认证的情况下消耗目标设备的内存，引发其他进程不稳定，其中包括内部和外部路由协议。

二 影响版本

启用DVMRP功能的IOS-XR系列所有版本

三 复现过程

无

四 影响范围

根据 ZoomEye 网络空间搜索引擎对关键字"Cisco"进行搜索，共得到 50,150,595 条 IP 历史记录，集中分布在美国。

 

五 修复建议

思科目前还未发布修复该漏洞的安全补丁，但思科在安全公告中给出了一些缓解的方法。

1.为了缓解内存耗尽的情况，建议实施速率限制。这需要知道当前的IGMP流量，并将其速率设置为低于当前的平均速率。配置模式下输入lpts pifib hardware police flow igmp rate命令。

如下所示：

RP/0/0/CPU0:router(config)# lptspifib hardware police flow igmp rate <value>

该命令不会删除漏洞利用的矢量。但是该命令将降低通信质量并增加成功利用所需的时间。可以利用这段时间来执行恢复操作。

2.更新访问控制列表（ACL），以缓解内存耗尽情况和瞬间IGMP进程崩溃情况。如下：

RP/0/0/CPU0:router(config)# ipv4access-list deny igmp any any dvmrp

 

六 时间线

Cisco官方发布预警时间：2020年8月29日

知道创宇发布漏洞情报时间：2020年9月2日

 

七 相关链接

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxr-dvmrp-memexh-dSmpdvfz

 

ZoomEye 网络空间搜索引擎：

https://www.zoomeye.org/searchResult/report?q=Cisco