對於維運與資安工程師來說,追蹤漏洞資訊最重要的一環不是看漏洞數量,而是判斷哪些漏洞「正在被利用」。美國網路安全與基礎設施安全局(CISA)維護的 KEV(Known Exploited Vulnerabilities)目錄就是這個標準。當一個漏洞進入 KEV 列表,意味著它不再僅僅是理論上的風險,而是已經有實際的攻擊案例。近期 CISA 將 Cisco、Google Chrome 與 Arista 的三個漏洞列入其中,這對企業網路設備與終端設備的維護具有高度警示意義。
首先關注的是 Google Chrome 的 V8 引擎漏洞 CVE-2026-11645。V8 是 Chrome 用來執行 JavaScript 的核心引擎,負責將程式碼編譯成機器碼以提高效能。該漏洞屬於 Out-of-bounds read and write,即越界讀寫。簡單來說,攻擊者可以透過精心設計的 HTML 頁面,讓 V8 引擎在處理資料時讀取或寫入到記憶體預定範圍之外的區域。雖然 Chrome 具有 Sandbox(沙箱機制,將執行環境與系統隔離以防止惡意程式影響主機),但此漏洞允許攻擊者在沙箱內執行任意程式碼。這通常是攻擊鏈的第一步,後續可能會搭配另一個沙箱逃逸漏洞來接管整個作業系統。
其次是 Cisco Catalyst SD-WAN Manager 的漏洞 CVE-2026-20245。這是一個典型的 Improper encoding or escaping of output(輸出編碼或轉義不當)問題。在開發 Web 介面時,如果系統沒有正確處理使用者輸入的特殊字元,就可能導致指令注入。此漏洞允許已通過身份驗證的本地攻擊者,透過上傳特定格式的檔案,在系統中以 root 最高權限執行任意指令。這對網路管理設備來說極為危險,因為一旦管理平面被攻破,整個網路拓撲的控制權都將落入攻擊者手中。
最值得工程師討論的是 Arista EOS(可擴展作業系統)的漏洞 CVE-2026-7473。這個漏洞涉及的是封裝協定處理邏輯的缺陷,具體來說是 Incomplete comparison with missing factors(缺乏關鍵因子的不完整比較)。
在網路設備中,VXLAN 或 GRE 等隧道協定(Tunneling Protocols)會將原始封包封裝在另一個封包內傳輸。當設備作為隧道終端(Endpoint)接收封包時,必須驗證該封包是否符合設定的協定類型。然而,受影響的 Arista 設備在解封裝(Decapsulation)時僅檢查目標 IP 是否匹配,而忽略了驗證協定類型。這導致攻擊者可以發送非預期的隧道封包,讓設備錯誤地將其解封並轉發至內部網路。
這項漏洞的特殊之處在於 Arista 官方表示目前不計畫提供補丁(Patch)。原因在於修復此邏輯可能會導致現有的網路設定失效,造成大規模的業務中斷。對於工程師而言,這是一個典型的風險權衡問題:是選擇修復漏洞但面臨系統不穩定,還是接受漏洞但採取緩解措施。
針對 Arista 的此漏洞,目前的實務建議是採取緩解措施(Mitigation)而非等待更新。具體做法是在上游設備或受影響設備上部署 ACL(Access Control List,存取控制列表),精確地過濾合法隧道流量,封鎖所有非預期的封裝封包。
總結來看,這三項漏洞涵蓋了從應用層(瀏覽器)、管理層(SD-WAN 管理器)到基礎設施層(網路交換機)的完整攻擊面。對於維運團隊,應優先更新 Chrome 瀏覽器,並檢查 Cisco 設備的權限管理,而對於 Arista 設備,則需立即審視 ACL 設定以阻斷潛在的非法隧道流量。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。