安全警报：思科网络设备存在Root攻击风险

网络设备供应商思科近日发布安全警告，其IOS和IOS XE网络操作系统存在多个高危漏洞。攻击者已开始利用其中部分漏洞发起攻击，具体攻击规模尚不明确。目前安全补丁已可供下载。

主要威胁分析

当前被活跃利用的漏洞（CVE-2025-20352，高危等级）

• 影响运行IOS和IOS XE系统的路由器和交换机
• 攻击向量：简单网络管理协议（SNMP）实现缺陷
• 攻击方式：通过IPv4或IPv6网络发送特制SNMP数据包
• 后果：导致拒绝服务状态及系统崩溃，最严重情况下攻击者可执行root权限恶意代码
• 前提条件：攻击者需具备身份认证权限

最高危漏洞（CVE-2025-20334，高危等级）

• 位于IOS XE的HTTP API子系统
• 攻击方式：无需认证即可诱骗受害者点击恶意链接
• 后果：直接以root权限执行系统命令

其他安全风险

其余漏洞主要可被利用来：

• 触发拒绝服务状态
• 绕过身份验证机制
• 规避安全防护措施

应对措施

管理员应立即安装思科发布的安全更新补丁，确保网络设备获得及时保护。

漏洞列表（按威胁等级降序排列）

1. IOS XE软件HTTP API命令注入漏洞
2. IOS XE软件基于网络的应用程序识别拒绝服务漏洞
3. IOS和IOS XE软件TACACS+认证绕过漏洞
4. IOS XE软件简单网络管理协议拒绝服务漏洞
5. IOS和IOS XE软件SNMP拒绝服务与远程代码执行漏洞（已观察到攻击活动）
6. IOS软件工业以太网交换机设备管理器拒绝服务漏洞
7. 适用于Catalyst 9000系列交换机的IOS XE软件拒绝服务漏洞
8. IOS XE软件安全启动绕过漏洞
9. IOS和IOS XE软件CLI拒绝服务漏洞
10. IOS XE软件Web UI反射型跨站脚本漏洞
11. IOS XE软件CLI参数注入漏洞
12. SD-WAN vEdge软件访问控制列表绕过漏洞
13. 适用于Catalyst 9800系列无线控制器云的IOS XE软件证书注册服务未授权访问漏洞
14. 运行于Catalyst 9500X和9600X系列交换机的IOS XE软件虚拟接口访问控制列表绕过漏洞
15. 接入点软件间歇性IPv6网关变更漏洞
16. 无线接入点软件设备分析操作帧注入漏洞