思科 Nexus 交换机中存在高危DoS 漏洞

思科发布安全公告，提醒客户注意其Nexus 3000和9000系列交换机 NX-OS 软件中间系统到中间系统 (IS-IS) 特性中的一个严重漏洞CVE-2025-20241。

该漏洞的CVSS评分为7.4，可导致未认证的第二层（数据链路层）邻近攻击者发送恶意构造的IS-IS数据包重启IS-IS进程，从而可能重新加载该设备并引发拒绝服务条件。

思科 Nexus 3000和9000设备中的漏洞

该漏洞是因为在解析入站 IS-IS 数据包时对输入验证不充分导致的。攻击者必须与目标交换机位于相同的广播域中，通过传输一个特别构造的IS-IS L1或L2数据包才能利用该漏洞。

收到该数据包后，NX-OS IS-IS 守护进程可能会崩溃，随后重新加载整个交换机、破坏网络路由和流量转发。该条件影响思科 Nexus 3000系列交换机以及处于独立NX-OS模式下的Nexus 9000系列交换机。

只有在至少一个界面上启用了IS-IS的设备才易受攻击。处于ACI模式、Firepower 1000/2100/4100/9300、mds 9000和UCS Fabric Interconnects 的产品确认不受影响。

安全公告提到，如果 IS-IS 认证已配置，则攻击者必须提供有效密钥才能利用该漏洞。要验证 IS-IS 的状态，管理员必须运行如下 CLI 命令：

如出现特性isis、路由器isis名称以及至少一个 ip 路由器isis 名称条目就可确认已被暴露。要查看实时 IS-IS 端点，可使用：

目前尚不存在临时的应变措施，不过为IS-IS启用区域认证，要求攻击者在发送恶意数据包之前进行认证，可缓解风险。

思科强烈建议客户全面评估该缓解措施，以保证与其网络要求相兼容。思科还发布免费的软件更新以修复该漏洞。拥有有效服务合同的客户应当从思科支持和下载门户下载并安装已修复版本。如无服务合同，则应联系思科 TAC，通过公告 URL 和产品序列号，获得必要补丁。