Cisco缺陷更新导致无线AP面临无法接收后续补丁的风险

思科管理员正忙于修复一个影响逾200款基于IOS XE系统的无线接入点（AP）的严重闪存溢出漏洞，该漏洞由近期一次存在缺陷的软件更新所引发。

若问题未能及时修复，AP的存储空间将被大量占用，导致新软件更新无法正常安装，接入点的安全性将受到严重威胁，甚至可能彻底变砖。

问题根源在于，某次有缺陷的库更新导致受影响接入点的闪存中一个特定日志文件每天增长约5MB。思科在本周发布的安全公告中指出，随着时间推移，该文件将占用"大量"可用存储空间。

公告指出："AP运行受影响软件的时间越长，因存储空间不足导致软件下载失败的概率就越高。"

Enderle Group分析师Rob Enderle表示，"日志错误"在网络领域并不罕见。但他同时指出："这一案例尤为危险，因为它直接触碰了闪存硬件的物理极限，而一旦设备变砖或陷入启动循环，维修难度极高。在网络领域，这属于高影响、中等罕见程度的事件。"

他进一步解释道："这个问题的特殊之处在于它制造了一个两难困境：要修复漏洞，就必须升级软件；而漏洞本身又导致设备没有足够空间下载修复补丁。如果管理员拖延太久，设备可能需要人工物理干预，甚至永久卡在启动循环中。"

SANS研究院研究院院长Johannes Ullrich认为，这类问题较为罕见，尽管他承认像接入点这样的物联网设备闪存空间有限，偶尔可能被占满。但他补充道："还有一个更大的问题：有能力的供应商漏洞管理程序必须始终包含验证补丁是否已按预期正确应用的环节。补丁未能成功应用的原因有很多，这只是其中一种情形。"

事件响应公司DeepCove Cybersecurity的首席技术官Kellman Meghu表示，由于漏洞导致固定设备内存溢出，"这会让我对该供应商相当不满。以我的经验来看，这种情况极为罕见，类似问题在存储成本还是主要制约因素的早期时代才会出现。我期望供应商能够对固定设备的存储进行清理和管理。如果设备仍在支持期内，这应当属于退货授权（RMA）或修复问题，供应商理应立即采取主动行动。"

受影响的设备包括运行IOS XE 17.12.4、17.12.5、17.12.6及17.12.6a版本的接入点，具体涉及思科Catalyst 9130AX系列AP、配备Stadium天线的9130AX型号、Catalyst 91361、91621、9163E、91641、9166D1、9167系列AP，以及Wi-Fi 6室外AP等产品。

针对上述问题，管理员有两种解决方案：一是下载思科提供的WLANPoller工具，该工具可自动化地在多个AP上执行修复操作；二是在每台设备上手动使用show boot命令，检查启动分区是否有足够空间进行升级。思科安全公告中提供了更为详尽的操作指引。

思科建议，应尽量在计划维护窗口前完成对AP状态的强制预检。但Enderle提醒，由于受影响的日志文件每天都在增长，"切勿等到AP出现故障才行动"。

他还指出，手动修复每台AP大约需要5至10分钟的实际操作时间，若AP存储空间尚够，还需额外等待15至20分钟以确认修复成功。但如果AP已存在存储空间不足的问题，每台设备的处理时间可能延长至20至45分钟。若AP已发生故障，修复时间将增至1至2小时，且需要对设备进行物理访问。使用WLANPoller工具可以显著提升修复效率。

Enderle指出，如果发现某台AP的闪存已满而无法完成升级，重启有时可以清除临时缓冲区，或短暂开启一个手动传输的窗口。但对于这一特定日志漏洞而言，若日志文件已持久化，重启可能无济于事。他建议管理员在尝试批量推送之前，先联系思科获取紧急清理脚本。

Enderle最终总结道，推送一个存在缺陷的更新是一个供应链完整性问题。首席安全官（CSO）应当向团队提问："我们是否建立了针对硬件健康指标（CPU、内存、闪存）的监控机制，还是仅监控设备的'在线/离线'状态？"他指出，一台在线运行但闪存剩余空间为零的AP，本身就是一个安全隐患。

CSO应将此漏洞视为"关键可用性风险"。他强调，"虽然这不是数据泄露事件，但由于自动更新失败或设备陷入启动循环，可能引发全站Wi-Fi服务中断，进而导致业务运营停摆。"Enderle还建议，CSO应推行一项策略，规定即便是"次要的库更新"，也需在实验室环境中经过7至14天的测试。"这个每天5MB的日志增长问题，很可能在实验室阶段就能被发现，而不至于蔓延至拥有5000台AP的生产环境。"

Q&A

Q1：思科此次无线AP闪存溢出漏洞的根本原因是什么？

A：根本原因是一次存在缺陷的库更新，导致受影响接入点的闪存中某个特定日志文件每天持续增长约5MB。随着时间累积，该文件会占满大量可用闪存空间，最终导致AP无法下载新的软件更新，设备安全性大幅下降，甚至可能变砖。

Q2：管理员应该如何修复受思科IOS XE闪存漏洞影响的接入点？

A：有两种方式：一是使用思科提供的WLANPoller工具，可自动化批量修复多台AP；二是手动在每台设备上执行show boot命令，检查启动分区存储空间是否充足。若AP存储空间已严重不足，需联系思科获取紧急清理脚本，并可能需要对设备进行物理访问，修复时间约需1至2小时。

Q3：这次思科更新缺陷对企业网络安全有哪些潜在影响？

A：主要风险在于可用性层面。若AP因闪存耗尽无法完成自动更新，可能导致全站Wi-Fi服务中断，进而影响正常业务运营。此外，无法更新的AP将长期处于不安全状态，存在被利用的风险。专家建议CSO将其列为"关键可用性风险"，并建立对CPU、内存、闪存等硬件健康指标的主动监控机制。