思科IOS和IOS XE软件漏洞允许攻击者远程执行代码

思科披露了其流行的IOS和IOS XE软件中存在严重漏洞，该漏洞可能让黑客获得远程执行代码的能力，并可导致设备崩溃或接管整个系统。

该漏洞基于简单网络管理协议（SNMP）子系统，由堆栈溢出引起，攻击者可通过IPv4或IPv6网络发送特制的SNMP数据包触发此漏洞。

所有SNMP版本都受到此问题影响，且该漏洞已在野外被利用，这凸显了网络管理员立即采取行动的紧迫性。

攻击路径分析

该漏洞开启了两种主要攻击路径：

• 拥有正确SNMPv3凭据或SNMPv2c只读社区字符串的低权限认证远程攻击者，可能造成拒绝服务（DoS）状况，迫使受影响设备重新加载并干扰网络运行
• 更令人担忧的是，拥有管理或15级特权访问权限的高权限攻击者，可在iOS XE设备上以root用户身份运行任意代码，从而接管整个系统

发现背景和影响范围

该漏洞由思科产品安全事件响应团队（PSIRT）在技术援助中心支持案例中发现，在本地管理员凭据泄露后发生了实际攻击。

此漏洞影响多种思科设备，包括对企业基础设施至关重要的路由器、交换机和接入点，这些设备运行易受攻击的IOS或IOS XE版本且启用了SNMP功能。

未专门移除受影响对象ID（OID）的设备仍然易受攻击。使用NX-OS和iOS XR软件的用户可稍感宽慰，因为这些系统不受影响。

潜在后果

可能造成严重后果：DoS攻击可能停止关键服务，而root级代码执行可能允许部署恶意软件、发生数据盗窃或进行横向网络移动。

由于SNMP广泛用于设备监控，许多企业因保留默认配置而无意识地暴露自己。

缓解措施

思科强调，虽然没有完整的解决方案，但可以采取缓解措施来阻止当前攻击：

• 管理员应使用"show snmp host"CLI命令监控并将SNMP访问限制为仅限受信任用户
• 通过将"snmp-server view"命令创建的受限视图应用于社区字符串或SNMPv3组来禁用易受攻击的OID
• 对于Meraki云管理交换机，建议联系支持团队以应用这些修改

思科2025年9月半年度安全咨询捆绑发布现已提供补丁。用户可使用思科软件检查器工具识别已修复的版本并确认暴露情况。

使用CLI命令验证SNMP状态：

• 对于v1/v2c使用"show running-config | include snmp-server community"
• 对于v3使用"show snmp user"

思科建议立即更新健壮软件，警告等待可能导致更多利用。这些漏洞凸显了随着网络连接日益紧密，严格SNMP加固和主动修补的必要性。