安全警报：思科设备面临Root攻击风险

网络设备制造商思科警告称，其路由器和交换机等设备存在严重安全漏洞。攻击者可能通过利用这些漏洞获得root权限执行恶意代码。管理员应立即安装最新安全补丁。

漏洞详情

已遭利用的漏洞（CVE-2025-20352 “高危”）

• 影响范围：运行IOS和IOS XE系统的路由器和交换机
• 攻击向量：简单网络管理协议（SNMP）实现缺陷
• 攻击方式：通过IPv4或IPv6网络发送特制SNMP数据包
• 后果：导致拒绝服务（DoS）状态及系统崩溃，最严重情况下攻击者可以root权限执行代码
• 前提条件：攻击者需已完成身份认证

最高危漏洞（CVE-2025-20334 “高危”）

• 位置：ISO XE的HTTP API子系统
• 攻击方式：无需认证，诱骗受害者点击恶意链接
• 后果：攻击者可以root权限执行命令

其他安全风险

其余漏洞主要可能造成：

• 拒绝服务状态
• 身份认证绕过
• 安全措施规避

修复建议

管理员应尽快安装思科发布的安全更新，确保网络设备受到保护。

漏洞列表（按威胁等级降序排列）

1. IOS XE软件HTTP API命令注入
2. IOS XE软件基于网络的应用程序识别拒绝服务
3. IOS和IOS XE软件TACACS+认证绕过
4. IOS XE软件简单网络管理协议拒绝服务
5. IOS和IOS XE软件SNMP拒绝服务和远程代码执行（已观察到攻击）
6. IOS软件工业以太网交换机设备管理器拒绝服务
7. 用于Catalyst 9000系列交换机的IOS XE软件拒绝服务
8. IOS XE软件安全启动绕过
9. IOS和IOS XE软件CLI拒绝服务
10. IOS XE软件Web UI反射型跨站脚本
11. IOS XE软件CLI参数注入
12. SD-WAN vEdge软件访问控制列表绕过
13. 用于Catalyst 9800系列无线控制器云的IOS XE软件证书注册服务未授权访问
14. 在Cisco Catalyst 9500X和9600X系列交换机上的IOS XE软件虚拟接口访问控制列表绕过
15. 接入点软件间歇性IPv6网关更改
16. 无线接入点软件设备分析操作帧注入