思科近日发布新安全公告称，攻击者可通过思科IOS设备上传ROMMON(IOS引导程序)镜像获取整台设备的控制权限。然而令人尴尬的是，这枚思科官方发布的安全预警未被CVE认可。

　　漏洞成因

ROMMON一般用于初始化思科IOS(它可以算是加载系统的小系统)，通常被网络工程师用做镜像恢复、一些特殊参数配置。当攻击者将它替换成恶意变更过的程序后，可获得该设备的最高权限。

在思科捕获到的实际案例中，攻击者是通过获取有效的管理认证信息来访问思科设备的，期间他们并没有利用任何漏洞。于是专家推测，他们是获取了管理认证后开始攻击，并上传安装了恶意ROMMON镜像。

　　思科公告表示：

思科应急响应中心(PSIRT)已经告知了客户这个漏洞，在观察了一部分攻击案例后，他们总结出攻击者会在获取管理权限或者物理访问权限后，将思科IOS ROMMON进行替换，然后上传安装一个恶意ROMMON镜像。

CVE并不认可…

由于手动安装升级的ROMMON是一种标准的、文档化的特性，这是为了网管能更便捷地管理网络。所以尽管思科“自曝”漏洞，但CVE拒绝给予漏洞编号。这就很尴尬了，这种做法没有被CVE认可。但大家需要注意的是，这种攻击手法确实能应用到大部分网络设备上去，不仅仅是思科。