思科紧急修复致命漏洞，黑客可借此全面接管设备

看雪学苑 看雪学苑 2025-05-09 09:59

最近，Cisco（思科）公司成功修复了其IOS XE软件中一个被评定为最高严重程度的漏洞，即CVE-2025-20188，有效避免了潜在的大规模网络攻击。此漏洞与一个用于“带外AP映像下载”功能的硬编码JSON Web Token（JWT）有关，一旦被利用，未授权的远程攻击者将有机会全面控制设备。

据思科官方公告所述，该漏洞的CVSS评分为满分10.0，表明了其极度的危险性。攻击者若成功利用漏洞，仅需向AP映像下载接口发送精心设计的HTTPS请求，就可能实现文件上传、路径遍历以及以root权限执行任意命令等恶意操作。令人担忧的是，这些操作将使设备完全暴露在攻击者的掌控之下，后果不堪设想。

不过，值得庆幸的是，引发此类漏洞风险的“带外AP映像下载”功能并非设备默认启用。该功能主要用于允许接入点（AP）通过HTTPS而非传统的CAPWAP协议下载操作系统映像，为AP的固件更新提供了一种更为灵活和直接的方式。然而，尽管默认未启用，但在一些大规模或自动化的大型企业网络部署场景下，为了加快AP的配置或恢复速度，部分管理员可能会主动开启此功能。这意味着，一旦开启，设备就处于潜在的风险之中。

经过调查，以下思科设备在满足特定条件下（即启用了上述功能）存在被攻击的风险：

• Catalyst 9800-CL 无线控制器（用于云服务）

• Catalyst 9800 嵌入式无线控制器（适用于Catalyst 9300、9400和9500系列交换机）

• Catalyst 9800系列无线控制器

• Catalyst APs上的嵌入式无线控制器

相对而言，一些思科产品未受该硬编码JWT问题的影响，包括Cisco IOS（非XE版本）、Cisco IOS XR、Cisco Meraki产品、Cisco NX-OS和基于Cisco AireOS的WLCs。这显示出不同产品线在安全设计上的差异，也为用户在选择设备时提供了重要的参考依据。

在发现该漏洞后，思科迅速采取行动，发布了一系列安全更新来解决这一关键性问题。系统管理员被强烈建议尽快应用这些补丁，以保护其网络设备免受潜在攻击。为了方便用户确定适用于其特定设备型号的修复版本，思科还提供了软件检查工具，即Cisco Software Checker。通过该工具，管理员可以轻松获取并安装所需的更新，从而有效降低安全风险。

即便如此，由于该漏洞的严重性，思科也提醒用户，目前虽然尚未发现针对CVE-2025-20188的活跃利用案例，但预计恶意攻击者可能会迅速开始扫描存在漏洞的设备，以便寻找可被利用的目标。因此，及时采取防护措施至关重要。

除此之外，虽然目前没有针对该漏洞的官方缓解措施或替代方案，但思科指出，禁用“带外AP映像下载”功能可以作为一种有效的防御手段。对于那些尚未应用补丁的用户来说，这是一种临时的保护方法，有助于减少攻击面。

资讯来源：
bleepingcomputer

转载请注明出处和本文链接

﹀

﹀

﹀

球分享

球点赞

球在看

点击阅读原文查看更多