北京
網絡管理工具突然變成攻擊入口。思科本周發布安全公告,旗下兩款核心網絡管理平臺存在嚴重漏洞,未認證攻擊者可直接從遠程發起攻擊,導致整個系統完全癱瘓。
漏洞編號CVE-2026-20188,CVSS評分7.5,屬于高危級別。問題出在連接處理機制上——系統缺乏基本的速率限制控制。攻擊者無需任何憑證,只需持續向服務器發送大量連接請求,就能瞬間耗盡所有可用資源。
一旦資源被耗盡,Crosswork Network Controller(CNC)和Network Services Orchestrator(NSO)會徹底失去響應。合法管理員被鎖在門外,依賴這些平臺的網絡服務隨之中斷。更麻煩的是,系統無法自動恢復,必須人工重啟才能恢復正常。
影響范圍已經明確。CNC方面,7.1及更早版本全部中招,只有7.2版本安全。NSO的情況更復雜:6.3及更早版本風險最高;6.4分支存在漏洞,但從6.4.1.3補丁開始修復;6.5及以上版本不受影響。
這個漏洞是思科內部在處理技術支持案例時發現的,目前尚無公開的概念驗證代碼,也沒有觀察到實際攻擊。但風險在于完全沒有臨時緩解方案——配置調整或網絡規則都無法在不破壞正常功能的前提下阻止資源耗盡,升級是唯一出路。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
