北京
思科广泛部署的Catalyst 9300系列企业交换机存在四个安全漏洞,其中两个漏洞可以形成攻击链,导致拒绝服务中断。这一发现来自基础设施安全公司Opswat的披露。
最具运营影响的两个漏洞是CVE-2026-20114和CVE-2026-20110,研究人员发现这两个漏洞可以链式利用,实现危险的权限提升。Opswat的Unit 515关键基础设施保护实验室发现了这些漏洞,并于去年7月向思科报告。
第一个漏洞存在于Catalyst WebUI大厅访客账户中。该账户的设计初衷是让没有管理员权限的非技术人员能够管理访客Wi-Fi接入。研究人员发现这个账户存在命令注入漏洞(CVE-2026-20114),攻击者可以利用它创建一个具有稍高权限级别的MAC地址账户。
利用获得的访问权限,研究人员接着发现了第二个更严重的漏洞,该漏洞是由输入验证不足引起的(CVE-2026-20110)。攻击者可以利用这个漏洞获得足够高的权限级别,将Catalyst 9300交换机置于"维护模式",此时交换机将停止传输网络流量。
Opswat在概念验证视频中表示:"这个漏洞链允许低权限用户提升其能力,最终在思科设备上触发完全的拒绝服务状态。"
除了上述两个漏洞,Opswat还发现了Catalyst 9300的另外两个漏洞:CVE-2026-20112(跨站脚本攻击)和CVE-2026-20113(CRLF注入)。这些漏洞与IOS XE IOx集成环境有关,该环境在Catalyst交换机上启用云边缘计算功能。
CVE-2026-20112漏洞可以被"已认证的用户利用,存储恶意JavaScript载荷,这些载荷随后会在其他用户会话上下文中执行",Opswat在其完整漏洞分析中说道。
CVE-2026-20113漏洞允许攻击者掩盖他们在IOS XE IOx上的任何攻击痕迹:"通过注入精心制作的控制字符,攻击者可以伪造或操纵日志条目,可能掩盖恶意活动并损害审计记录的完整性。"Opswat补充说,这削弱了对监控、事件响应和取证分析至关重要的日志记录机制的可靠性。
要实现攻击,攻击者需要链式利用前两个漏洞CVE-2026-20114和CVE-2026-20110,其中第一个漏洞需要使用窃取的凭证进行身份验证。这在一定程度上提高了攻击门槛,尽管窃取低权限用户账户的凭证对攻击者来说并不是主要障碍。
然而,攻击者能够从基本的大厅访客账户提升权限到使交换机进入拒绝服务状态,这突出了该漏洞构成的风险。短期缓解措施是确保为所有访问大厅访客功能的用户账户启用多因素身份验证安全机制。
据Opswat介绍,从去年7月到本月修复这些缺陷花费了如此长时间,是因为思科采用每年两次的补丁发布周期。
渗透测试团队负责人Loc Nguyen表示:"由于我们在2025年8月报告了这些问题,思科没有足够的时间在9月周期内完成调查、修复和通报流程。因此,发布推迟到了2026年3月的下一个通报窗口。据我们所知,没有证据表明第三方利用了这些漏洞。"
思科已在3月25日的半年度思科IOS和IOS XE软件安全通报中解决了所有四个CVE漏洞。尽管单个CVSS评分都不高(从CVE-2026-20112的4.8分到CVE-2026-20110的6.5分),但前两个漏洞可以链式利用的特点放大了危险性。
管理员可以使用思科的软件检查工具,通过输入当前使用的软件/固件版本来确定交换机是否存在漏洞。
对于CVE-2026-20114、CVE-2026-20112或CVE-2026-20113,没有可行的变通方案。对于评分最高的漏洞CVE-2026-20110,思科表示可以通过命令行界面手动设置"开始维护"命令的权限级别来缓解。
今年2月,思科公开了影响Catalyst SD-WAN管理器的另一系列漏洞:CVE-2026-20122、CVE-2026-20126和CVE-2026-20128。这些漏洞允许攻击者提升到root权限,被分配了9.8分的CVSS评分("严重"级别),且没有可行的变通方案。
同月,思科还修复了其Catalyst SD-WAN控制器中的一个漏洞CVE-2026-20127。
Q&A
Q1:Catalyst 9300交换机的漏洞链攻击是如何工作的?
A:攻击者首先利用CVE-2026-20114漏洞通过Catalyst WebUI大厅访客账户进行命令注入,创建具有更高权限的MAC账户,然后利用CVE-2026-20110漏洞进一步提升权限,最终将交换机置于维护模式,导致网络流量中断。
Q2:如何防护这些思科Catalyst交换机漏洞?
A:管理员应立即安装思科3月25日发布的安全补丁,为所有访问大厅访客功能的用户账户启用多因素身份验证,并使用思科软件检查工具确认设备是否存在漏洞。
Q3:这些漏洞的危险程度如何?
A:虽然单个漏洞的CVSS评分从4.8到6.5分不等,但两个漏洞可以链式利用,攻击者能从低权限账户提升到足以中断网络服务的权限级别,对企业网络运营构成严重威胁。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
