Cisco Nexus交换机漏洞CVE-2024-20412

Cisco Nexus 交换机是专为数据中心设计的模块化交换解决方案，提供高密度、低延迟和可扩展的基础设施，并且支持混合云网络策略。

一、基本情况

Cisco Nexus 3000系列交换机专为高密度数据中心设计的低延迟、高性能设备，支持VXLAN和Cisco NX-OS，提供模块化网络管理功能。

Cisco Nexus 9000系列为以应用为中心的思科基础架构（ACI）奠定基础，该系列交换机外观紧凑，提供出色扩展性、性能及能源效率。

栋科技漏洞库关注到影响运行NX-OS系统的Cisco Nexus 3000和9000系列交换机漏洞，漏洞追踪为CVE-2025-20241，CVSS评分7.4分。

二、漏洞分析

CVE-2025-20241漏洞是个影响运行NX-OS系统的Cisco Nexus 3000和9000系列交换机的高危拒绝服务（Denial of Service，DoS）漏洞。

存在于Cisco Nexus 3000系列和Cisco Nexus 9000系列在独立NX-OS模式下的Cisco NX-OS软件的中间系统到中间系统（IS-IS）功能中。

可能允许未经身份验证的相邻攻击者导致IS-IS进程意外重启，导致受影响设备重新加载，允许未经认证的相邻攻击者破坏核心网络运行。

具体而言，该漏洞源于解析传入IS-IS数据包时输入验证不足，攻击者可以通过向受影响的设备发送精心编制的IS-IS数据包来利用此漏洞。

成功利用该漏洞，可导致攻击者意外重启IS-IS进程，这可能会导致受影响的设备重新加载，从而会导致拒绝服务状态（DoS）的情况发生。

不过，漏洞利用存在前提，即只能由处于UP状态的相邻IS-IS对等体利用，若启用了IS-IS认证，攻击者需要使用有效密钥才能利用此漏洞。

IS-IS协议是一种路由协议，攻击者要利用该漏洞须位于受影响设备的第2层附近，仅限于与目标设备具有二层（Layer 2）邻接关系攻击者。

管理员可以通过如下命令检查是否启用了IS-IS：

show running-config | include isis

若出现feature isis、router isis <名称>和ip router isis <名称>等配置命令，则表明IS-IS处于激活状态。

同样，show isis adjacency命令可显示活跃的IS-IS对等体。

三、影响范围

Cisco Nexus 3000系列交换机

Cisco Nexus 9000系列交换机

运行独立NX-OS模式的Cisco Nexus 9000系列交换机

仅启用IS-IS路由协议的设备

四、修复建议

思科官方已发布安全补丁，建议用户尽快升级。

五、参考链接

管理员已设置登录后刷新可查看