本周三，思科宣布修复了位于 NX-OS 软件引导加载程序中的一个高危漏洞 (CVE-2024-20397)，可导致攻击者绕过镜像签名验证。

该漏洞是因为不安全的引导加载程序设置导致的，可导致攻击者执行特定指令，绕过验证流程并加载未经验证的软件。

虽然成功利用该漏洞无需进行认证，但思科在安全公告中提到要求具有物理访问权限。该漏洞还可被具有管理员权限的认证本地攻击者利用。

思科提到，该漏洞仅与支持安全启动模式的 MDS、Nexus和UCS Fabric Interconnect 产品有关，与无此特性的遗留设备无关。思科列出了受影响设备型号，超过100个。

思科表示，该漏洞影响所有MDS 9000系列多层交换机、Nexus 3000和7000系列交换机、Nexus 9000系列ACI模式中的 fabric交换机、独立NX-OS模式的Nexus 9000系列交换机以及UCS 6400和6500系列的fabric interconnects。

思科提醒称，该漏洞并不存在应变措施。不过该公司已经发布多个 NX-OS 软件更新，修复受影响产品系列并计划在本月底为所有设备发布更新。Nexus9260YC-X (N9K-C92160YC-X) 交换机不会收到补丁，因为该型号已停用。

思科表示，并未发现该漏洞遭在野利用的迹象。尽管CVE-2024-20397 是中危漏洞，但用户应当尽快更新设备，因为攻击者一向会利用已发布补丁的思科产品中的中危漏洞。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~