半年前轟動全球的中國駭客Salt Typhoon攻擊美國電信業者事故鬧得沸沸揚揚,關鍵環節之一正是思科路由器平臺是駭客主要的入侵管道,因此,該廠牌路由器的漏洞修補消息,勢必受到更大的關注。
本週二(3月12日)思科針對網路設備作業系統IOS XR發布上半年例行更新,總共修補10項資安弱點,其中有7項為高風險層級、3個為中度風險層級,CVSS風險值介於4.0至8.8分。
根據風險評分的高低,最危險的是命令列(CLI)權限提升漏洞CVE-2025-20138,通過身分驗證的本機攻擊者能利用這項弱點,在作業系統底層以root權限執行任意命令,風險值為8.8。
這項弱點發生的原因,在於IOS XR對於傳送到命令列的特定命令,出現使用者引數驗證不夠充分的情況,使得攻擊者只要能夠存取低權限的帳號,就有機會使用特定的命令觸發,影響所有64位元版本的IOS XR作業系統,32位元IOS XR、IOS、IOS XE、NX-OS不受影響。
另外兩個風險值達到8.6分的漏洞CVE-2025-20142、CVE-2025-20146也相當值得留意,這些漏洞都影響搭配特定型號線路卡的ASR 9000系列Aggregation Services Router,以及ASR 9902、ASR 9903路由器,未經身分驗證的攻擊者可發送特製的IPv4封包,就有機會重設線路卡,從而導致服務阻斷(DoS)的現象。
