思科解决了其 IOS XR 路由器软件中的一个零日漏洞，该漏洞允许未经身份验证的攻击者远程访问在 NOSi Docker 容器中运行的 Redis 实例。

IOS XR 网络操作系统部署在 多个 Cisco 路由器平台上，包括 NCS 540 和 560、NCS 5500、8000 和 ASR 9000 系列路由器。

该漏洞（跟踪为 CVE-2022-20821）是在解决 Cisco TAC（技术援助中心）支持案例期间发现的。

“存在此漏洞是因为健康检查 RPM 在激活时默认打开 TCP 端口 6379。攻击者可以通过连接到开放端口上的 Redis 实例来利用此漏洞，”思科解释说。

“成功的利用可能允许攻击者写入 Redis 内存数据库，将任意文件写入容器文件系统，并检索有关 Redis 数据库的信息。”

幸运的是，即使攻击者成功利用此漏洞，他们也无法远程执行代码或破坏主机系统的完整性，因为 Redis 实例运行在沙盒容器中。

虽然该漏洞仅影响 安装了健康检查 RPM 并处于活动状态的Cisco 8000 系列路由器，但思科在周五发布的一份公告中敦促客户对运行易受攻击软件的设备进行修补或应用变通方法。

该公司表示： “2022 年 5 月，思科 PSIRT 意识到有人企图在野外利用此漏洞。 ”

“思科强烈建议客户应用合适的解决方法或升级到固定软件版本来修复此漏洞。”

思科 IOS XR 版本 第一个固定版本
7.2 及更早版本 不受影响
7.3.15、7.3.16、7.3.1 和 7.3.2 不受影响
7.3.3 7.3.41
7.4 不受影响
7.5.1 不受影响
7.5.2 不受影响
7.6 不受影响
可用的解决方法

该网络供应商还为无法立即应用安全更新以缓解 CVE-2022-20821 漏洞的客户提供解决方法。

第一种解决方法要求管理员禁用健康检查并从易受攻击的设备中删除健康检查 RPM。要查找设备是否受到影响，您需要发出 run docker ps 命令并查找名为 NOSi 的 docker 容器。

管理员还可以 使用基础设施访问控制列表 (iACL) 来阻止端口 6379，端口攻击者的目标是获得对暴露的 Redis 实例的访问权限。

“客户应该意识到，根据内在的客户部署场景和限制，实施的任何解决方法或缓解措施都可能对其网络的功能或性能产生负面影响，”思科表示。

“在首先评估对自己环境的适用性以及对此类环境的任何影响之前，客户不应部署任何变通办法或缓解措施。”

此前，思科修复了 NFVIS 漏洞，这些漏洞可以让未经身份验证的攻击者远程运行具有 root 权限的命令，以及允许远程未经身份验证的攻击者 窃取管理员凭据的 Cisco Umbrella 虚拟设备 (VA) 。