思科(Cisco)发布了一份高严重性安全公告,提醒客户注意其 Nexus 3000 和 9000 系列交换机所搭载的 NX-OS 软件中,中间系统到中间系统(Intermediate System-to-Intermediate System,IS-IS)协议功能存在一个关键漏洞。
该漏洞的通用漏洞披露编号(CVE)为CVE-2025-20241,根据 CVSS(通用漏洞评分系统)基础评分为 7.4 分。此漏洞允许未经验证的二层邻接攻击者发送构造异常的 IS-IS 数据包,导致 IS-IS 进程重启,进而可能引发设备重新加载,并造成拒绝服务(Denial-of-Service,DoS)状态。
- 思科 Nexus 3000/9000 系列交换机的 IS-IS 协议漏洞允许邻接攻击者发起拒绝服务攻击;
- 目前无临时缓解方案(workaround),可通过启用 IS-IS 区域认证降低风险;
- 需安装思科提供的免费 NX-OS 软件更新以修复漏洞。
该漏洞源于 NX-OS 软件在解析入站 IS-IS 数据包时 “输入验证机制不足”。攻击者需与目标交换机处于同一广播域内,通过发送构造特殊的 IS-IS L1(Level 1,一级)或 L2(Level 2,二级)数据包即可利用此漏洞。
交换机接收到该恶意数据包后,NX-OS 软件中的 IS-IS 守护进程(daemon)可能会崩溃,进而导致整个交换机重新加载,最终破坏网络路由功能与流量转发服务。
受此漏洞影响的设备包括:
- 思科 Nexus 3000 系列交换机;
- 运行独立 NX-OS 模式的思科 Nexus 9000 系列交换机。
仅当设备至少有一个接口启用了 IS-IS 协议时,才会受到该漏洞影响。经确认,以下产品不受此漏洞影响:运行 ACI(应用中心基础设施)模式的 Nexus 9000 系列交换机、Firepower 1000/2100/4100/9300 系列设备、MDS 9000 系列存储区域网络交换机,以及 UCS Fabric Interconnect(统一计算系统结构互联)设备。
公告指出,若设备已配置 IS-IS 认证,攻击者需提供有效的认证密钥才能利用该漏洞发起攻击。
管理员可通过运行以下命令行(CLI)指令,验证设备上 IS-IS 协议的启用状态:
show running-config |include isis
若命令输出中包含 “feature isis”(启用 IS-IS 功能)、“router isis name”(IS-IS 路由器配置),且至少存在一条 “ip router isis name”(接口启用 IS-IS)记录,则表明设备存在漏洞暴露风险。
如需查看当前活跃的 IS-IS 邻居设备,可使用以下命令:
show isis adjacency
目前暂无针对该漏洞的临时缓解方案,但可通过为 IS-IS 协议启用区域认证降低风险 —— 该操作要求攻击者在发送恶意数据包前完成认证,从而增加其利用漏洞的难度。思科强烈建议客户充分评估此缓解措施,确保其符合自身网络需求。
思科已发布免费的软件更新以修复该漏洞:
- 拥有有效服务合同的客户:可通过思科支持与下载门户(Cisco Support and Downloads portal)下载并安装修复版本;
- 无有效服务合同的客户:可联系思科技术支持中心(Cisco TAC),提供该安全公告的 URL 链接及设备序列号,即可获取必要的补丁程序(无需额外付费)。
红客联盟·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
