思科DoS漏洞CVE-2026-20188需要手动重启以恢复

执行摘要

思科在2026年5月6日发布了安全更新，以解决其Crosswork Network Controller（CNC）和Network Services Orchestrator（NSO）平台上的一个高严重性的拒绝服务（DoS）漏洞，该漏洞被追踪为CVE-2026-20188。这个漏洞可以被未经身份验证的攻击者远程利用，复杂度低，可以使得未打补丁的系统崩溃，迫使管理员手动重启受影响的设备以恢复服务。根据思科的咨询，产品安全事件响应团队（PSIRT）尚未观察到在野外的积极利用，但该漏洞影响广泛部署的网络管理软件，这些软件被大型企业和服务提供商使用。

技术分析

CVE-2026-20188源于思科CNC和思科NSO对传入网络连接的速率限制不足。未经身份验证的攻击者可以发送特制的网络流量流，耗尽可用的连接资源，导致目标系统变得无响应。正如思科在其咨询中解释的，“成功的利用可以允许攻击者耗尽可用的连接资源，导致思科CNC和思科NSO变得无响应，并导致合法用户和依赖服务的DoS条件。需要手动重启系统以从这种状况中恢复。”

该漏洞影响Crosswork Network Controller套件——大型企业和服务提供商使用它来简化多供应商网络管理和自动化操作——以及管理网络设备和资源的Network Services Orchestrator平台。思科的咨询没有分配CVSS基础分数，但公司将该漏洞评为高严重性。

思科CNC的7.1及更早版本易受攻击；客户必须迁移到一个固定的版本。7.2版本不受影响。对于思科NSO，6.3及更早版本易受攻击，第一个固定的版本是6.4.1.3。6.5版本不受影响。思科强烈建议升级到咨询中指出的固定软件，以完全修复漏洞并避免未来的暴露。

尽管CVE-2026-20188尚未被利用，但思科有修补后来被攻击利用的类似DoS漏洞的历史。在2025年11月，该公司警告说，两个先前修补的零日漏洞（CVE-2025-20362和CVE-2025-20333）被用来迫使ASA和FTD防火墙进入重启循环。在2025年9月，当思科修补这两个漏洞时，CISA发布了紧急指令，要求联邦机构在24小时内保护他们的思科防火墙。思科还解决了CVE-2022-20653和CVE-2024-20401漏洞，这些漏洞可以允许攻击者使用恶意制作的电子邮件消息永久性地崩溃安全电子邮件设备，需要通过思科技术援助中心（TAC）手动干预。去年，思科修补了CVE-2025-20115，这是一个DoS漏洞，允许攻击者通过单一BGP更新消息使IOS XR路由器上的边界网关协议（BGP）进程崩溃。

缓解措施与建议

思科强烈建议升级到固定的软件版本：对于CNC，迁移到一个固定的版本（7.2版本不受影响）；对于NSO，升级到6.4.1.3或更高版本。运行思科CNC 7.1及更早版本或NSO 6.3及更早版本的组织应优先打补丁，因为该漏洞不需要身份验证，并且攻击复杂度低。没有可用的替代方案；唯一的补救措施是升级到一个固定的版本。防御者应监控CNC和NSO系统上不寻常的连接耗尽模式，因为利用将表现为这些管理平台的突然不可用。鉴于需要手动重启恢复，组织应确保受影响的数据中心存在现场或远程手动能力。