思科修复漏洞，防止攻击者使路由器BGP进程崩溃

思科近日修复了一个拒绝服务（DoS）漏洞，该漏洞编号为CVE-2025-20115，可能导致未经身份验证的远程攻击者通过发送单一BGP更新消息，使IOS XR路由器中的边界网关协议（BGP）进程崩溃。

IOS XR是思科为运营商级和服务提供商路由器开发的网络操作系统。它基于微内核架构，专为高可用性、可扩展性和模块化而设计。

漏洞利用与影响

攻击者可通过精心构造的BGP更新或错误配置的网络利用此漏洞，导致内存损坏，并通过重启BGP进程实现DoS攻击。要利用此漏洞，攻击者必须控制相同自治系统内的BGP联邦发言者，或使AS_CONFED_SEQUENCE属性达到255个自治系统编号。

思科在公告中表示：“思科IOS XR软件中BGP联邦实现的一个漏洞，可能导致未经身份验证的远程攻击者引发拒绝服务（DoS）情况。该漏洞源于当BGP更新包含AS_CONFED_SEQUENCE属性且该属性达到255个自治系统编号时发生的内存损坏。攻击者可通过发送精心构造的BGP更新消息或设计网络使AS_CONFED_SEQUENCE属性增长至255个或更多自治系统编号来利用此漏洞。成功利用该漏洞可能导致攻击者引发内存损坏，进而使BGP进程重启，造成DoS情况。”

该漏洞CVE-2025-20115在BGP联邦配置的情况下影响思科IOS XR软件，但不会影响IOS软件、IOS XE软件和NX-OS软件。

受影响版本与缓解措施

以下是受影响的版本：

如果无法应用补丁，建议将AS_CONFED_SEQUENCE限制为254个或更少的自治系统编号以降低攻击风险。

报告还指出：“存在一种缓解此漏洞的临时解决方案。该漏洞部分源于BGP AS_CONFED_SEQUENCE属性达到255个或更多自治系统编号。解决方案是将此BGP属性限制为254个或更少的自治系统编号。尽管这一方案已在测试环境中部署并证明有效，但客户应在自己的环境和使用条件下评估其适用性和效果。”

思科建议

思科建议在部署缓解措施前进行评估，因为根据具体的部署场景，这些措施可能会影响网络性能。目前，思科产品安全事件响应团队（PSIRT）尚未发现利用此漏洞的野外攻击。

参考来源：

Cisco IOS XR flaw allows attackers to crash BGP process on routers