Cisco IOS XE是美国思科(Cisco)公司的一套为其网络设备开发的操作系统。Cisco ASR 900 Series Aggregation Services Routers是思科公司的一款路由器。<br />
Cisco ASR 900 Series Aggregation Services Routers(安装了路由交换机处理器3(RSP3))的Cisco IOS XE Software在启动期间的初始化例程中存在任意代码执行漏洞。该漏洞源于程序在设置了特定的ROM监视器(ROMMON)变量时未对启动脚本进行正确验证。许经过身份认证的本地攻击者可通过将特定文件复制到受影响设备的本地文件系统并定义特定ROMMON变量利用该漏洞以高特权在启动时执行持久代码并打破信任链。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-rsp3-rce-jVHg8Z7c