CVE-2025-8872: Arista Networks EOS 中的 CWE-400 不受控制的资源消耗

严重性：高 类型：漏洞

CVE-2025-8872

在运行配置了 OSPFv3 的 Arista EOS 的受影响平台上，特制的数据包可导致 OSPFv3 进程 CPU 使用率过高，这可能致使 OSPFv3 进程重启。这可能导致交换机上的 OSPFv3 路由中断。

此问题由 Arista 内部发现，目前未发现此问题在客户网络中被恶意利用。

AI 分析

技术总结

CVE-2025-8872 是一个归类于 CWE-400（不受控制的资源消耗）的漏洞，存在于配置了 OSPFv3 的 Arista Networks EOS 版本 4.31.0 至 4.34.0 中。该缺陷源于对特制 OSPFv3 数据包的处理，这些数据包会导致 OSPFv3 进程消耗过多的 CPU 资源。这种高 CPU 使用率可能导致 OSPFv3 进程意外重启，从而造成受影响交换机上 OSPFv3 路由信息暂时丢失或中断。该漏洞可通过网络远程利用，无需身份验证或用户交互，使得能够访问设备网络的攻击者可以利用此漏洞。影响主要集中在可用性和网络稳定性方面，因为路由中断可能导致数据包丢失、延迟增加或网络分区。CVSS v4.0 评分为 7.1，反映了由于易于利用且对网络运营有重大影响而造成的高严重性。Arista 内部发现了此问题，迄今为止尚未报告有主动利用行为。然而，披露时缺乏补丁，需要主动缓解。此漏洞在 Arista EOS 交换机是路由基础设施核心的环境中尤其关键，例如为 IPv6 路由运行 OSPFv3 的数据中心和服务提供商网络。缺乏身份验证要求和网络攻击向量增加了暴露设备的风险状况。

潜在影响

对欧洲组织而言，CVE-2025-8872 的影响可能非常重大，特别是对于依赖 Arista EOS 交换机进行 OSPFv3 路由的企业、云提供商和电信公司。OSPFv3 路由中断可能导致网络中断、服务质量下降以及可能影响业务关键应用程序和服务的潜在停机。这可能会损害数据中心、分支机构和云环境之间的连接，导致运营延迟和财务损失。该漏洞还可能影响对网络可用性的服务级别协议（SLA）和法规要求的合规性。鉴于 Arista EOS 在欧洲高性能网络环境中的广泛使用，风险延伸至金融、医疗保健和政府等对网络可靠性至关重要的领域。此外，拒绝服务条件的可能性可能被旨在破坏关键基础设施或在网络内进行横向移动的威胁行为者利用。

缓解建议

组织应优先考虑以下缓解步骤：

1. 密切关注 Arista Networks 的安全公告，并在安全补丁或 EOS 更新发布后立即应用，以修复漏洞。
2. 通过实施严格的访问控制列表（ACL）和网络分段来限制对启用 OSPFv3 接口的网络访问，以减少暴露于不受信任的网络。
3. 在 Arista EOS 设备上启用并监控 CPU 使用率指标，以检测表明利用尝试的异常峰值。
4. 在可能的情况下，对 OSPFv3 数据包采用速率限制或过滤，以降低资源耗尽的风险。
5. 进行定期网络审计，以识别运行易受攻击的 EOS 版本和 OSPFv3 配置的设备。
6. 考虑部署冗余路由路径和故障转移机制，以在 OSPFv3 进程重启时最大限度地减少服务中断。
7. 对网络运营团队进行有关此漏洞的教育，并建立事件响应程序以快速解决潜在的利用场景。这些措施超越了通用建议，专注于针对 Arista EOS 和 OSPFv3 环境的主动检测、网络强化和运营准备。

受影响国家

德国、法国、英国、荷兰、瑞典、意大利、西班牙

来源：CVE 数据库 V5 发布日期：2025年12月16日星期二

技术详情

数据版本：5.2 分配者简称：Arista 保留日期：2025-08-11T18:18:36.004Z Cvss 版本：4.0 状态：已发布

威胁 ID：6941b76a0d5f6f4391b96408 添加到数据库：2025年12月16日，下午 7:47:54 最后丰富时间：2025年12月16日，下午 8:01:49 最后更新时间：2025年12月17日，上午 1:29:40 查看次数：25