思科Catalyst 9000交换机DoS漏洞技术分析

本文详细分析思科Catalyst 9000系列交换机IOS XE软件中的拒绝服务漏洞,涉及特定以太网帧处理机制,可导致出口端口阻塞并丢弃所有出站流量,包含漏洞原理、影响范围和修复方案。

思科Catalyst 9000系列交换机IOS XE软件拒绝服务漏洞

漏洞概述

思科Catalyst 9000系列交换机的IOS XE软件在处理特定以太网帧时存在漏洞,未经身份验证的相邻攻击者可利用此漏洞导致出口端口被阻塞并丢弃所有出站流量。

漏洞严重程度:高

  • 咨询ID:cisco-sa-cat9k-PtmD7bgy
  • CVE编号:CVE-2025-20311
  • CWE分类:CWE-19
  • CVSS评分:7.4

漏洞详情

漏洞原理

此漏洞源于对精心构造的以太网帧处理不当。攻击者可通过受影响的交换机发送特制以太网帧,成功利用后会导致转发特制帧的出口端口开始丢弃所有帧,造成拒绝服务(DoS) condition。

技术表现

特定精心构造的以太网帧处理可能导致受影响端口的出口FIFO队列卡住,导致端口丢弃所有出站流量,如下例所示:

1
2
3

Switch#show interfaces tenGigabitEthernet 6/0/1 | include Total output drops
   Input queue: 0/375/0/0 (size/max/drops/flushes); Total output drops: 461992
Switch#

重复执行该命令会显示"Total output drops"持续增加,这表明流量未通过接口转发。

恢复方法

  1. 首先识别特制帧的来源
  2. 移除该设备或使用VLAN或MAC ACL阻止该设备
  3. 移除特制帧来源后,重新加载设备(这是恢复设备的唯一方法)

受影响产品

易受攻击产品

运行易受攻击的Cisco IOS XE软件版本并具备以下任一条件的Catalyst 9000交换家族平台:

  • 启用中继端口
  • 启用Cisco TrustSec端口
  • 启用MACSec端口

具体受影响系列:

  • Catalyst 9200系列交换机
  • Catalyst 9300系列交换机
  • Catalyst 9400系列交换机
  • Catalyst 9500系列交换机
  • Catalyst 9600系列交换机

设备配置检测

检测中继端口

使用管理员权限连接到设备CLI,执行:

1

show running-config | include switchport mode trunk|dynamic|dot1q-tunnel

如果有输出返回,则设备受影响。

检测Cisco TrustSec端口 

1

show running-config | include cts manual

如果有输出返回,则设备受影响。

检测MACsec端口 

1

show macsec summary

如果返回的输出包含任何接口,则设备受影响。

确认不受影响产品

  • Catalyst 9800系列无线控制器
  • IE9300 Rugged系列交换机
  • IOS软件
  • IOS XR软件
  • NX-OS软件

解决方案

修复软件

思科已发布修复此漏洞的软件更新。建议客户升级到本公告中指示的修复软件。

使用思科软件检查器确定软件版本是否受影响:

  1. 访问Cisco Software Checker页面
  2. 选择咨询搜索范围(仅本公告、所有关键和高严重性公告、所有公告)
  3. 输入版本号(如15.9(3)M2或17.3.3)
  4. 点击检查

临时措施

目前没有可用的临时解决方案。

其他信息

利用情况

思科产品安全事件响应团队(PSIRT)未发现有关此漏洞的公开声明或恶意利用。

漏洞发现

此漏洞是在解决思科技术援助中心(TAC)支持案例期间发现的。

文档版本

  • 版本1.1:更新了第一句话以澄清功能信息(2025年9月30日)
  • 版本1.0:初始公开发布(2025年9月24日)
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次