一、基本情况

近日，监测发现思科网关协议多播VPN存在会话拒绝服务漏洞。Cisco NX-OS软件的边界网关协议（BGP）组播VPN（MVPN）中的安全漏洞可能允许未经身份验证的远程攻击者导致BGP会话重复重置，从而导致拒绝服务（DoS）。

二、攻击原理

该漏洞是由于对特定类型的BGP MVPN更新消息的解析不正确造成的。攻击者可以通过将此BGP MVPN更新消息发送到目标设备来利用此漏洞。成功利用该漏洞可能使攻击者制造BGP对等连接重置，从而可能导致BGP路由不稳定并影响流量。传入的BGP MVPN更新消息是有效的，但是被NX-OS设备错误地解析，这可能会将损坏的BGP更新发送到已配置的BGP对等方。

三、影响范围

受影响版本

如果以下Cisco产品运行的是Cisco NX-OS软件的易受攻击的版本，并且配置了带有MVPN的BGP，则此漏洞会影响它们：

Nexus 3000系列交换机

Nexus 7000系列交换机

独立NX-OS模式下的Nexus 9000系列交换机

要使设备容易受到攻击，必须满足以下条件：

设备已配置ngmvpn功能。

该设备至少配置了一个BGP邻居（对等体）。

设备具有为BGP邻居下的MPVN配置的BGP连接

四、处置建议

通用修复建议：

思科官方已经发布软件更新，客户可以通过官方渠道升级存在漏洞的设备：

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxosbgp-mvpn-dos-K8kbCrJp/

五、参考链接

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxosbgp-mvpn-dos-K8kbCrJp