Cisco yakın zamanda Catalyst 6000 Serisi Anahtarlar için Cisco IOS Yazılımında hizmet reddine (DoS) yol açabilecek yüksek önemdeki bir güvenlik açığını düzeltti.
Temel puanı 7,4 olan ve CVE-2024-20276 olarak takip edilen bu yüksek önemdeki güvenlik açığı, süreç anahtarlamalı trafiğin hatalı işlenmesiyle tetikleniyor.
Cisco IOS (İnternet Çalışma Sistemi), yönlendiriciler, anahtarlar ve diğer ağ cihazları gibi Cisco Systems donanımı üzerinde çalışan bir dizi özel işletim sistemidir (OS’ler).
Cisco IOS, arayüz yapılandırması, ağ yönetimi ve izleme, yönlendirme, güvenlik, anahtarlama ve hizmet kalitesi (QoS) gibi temel işlevleri içerir.
Cisco IOS Güvenlik Açığı Detayları
Cisco Catalyst 6000 Serisi anahtarlara yönelik bu Cisco IOS Yazılımı kusuru, kimliği doğrulanmamış yerel bir saldırganın, savunmasız bir cihazda beklenmeyen bir yeniden yüklemeyi zorlamasına izin verebilir.
Güvenlik açığı, süreç anahtarlamalı trafiğin hatalı işlenmesinden kaynaklanmaktadır.
Saldırgan, kötü amaçlı trafiği savunmasız bir cihaza yönlendirerek bu kusurdan yararlanabilir.
Açıktan yararlanmanın etkili olması durumunda saldırgan, güvenliği ihlal edilmiş cihazı yeniden yüklemeye zorlayarak bir hizmet reddi (DoS) sorununu tetikleyebilir.
“Bir saldırgan, etkilenen bir cihaza hazırlanmış trafik göndererek bu güvenlik açığından yararlanabilir. Başarılı bir istismar, saldırganın etkilenen cihazın yeniden yüklenmesine neden olmasına olanak tanıyarak hizmet reddi (DoS) durumuyla sonuçlanabileceğini söyledi.
Etkilenen Ürünler
Aşağıdaki Cisco ürünlerinden herhangi birinin, Cisco IOS yazılımının güvenlik açığı bulunan bir sürümünü çalıştırdığını ve bağlantı noktası güvenliğini, cihaz sınıflandırıcısını veya kimlik doğrulama, yetkilendirme ve muhasebeyi (AAA) etkinleştirdiğini varsayalım. Bu durumda, bu güvenlik açığından etkilenebilirler:
- Supervisor Engine 2T veya 6T ile Catalyst 6500 Serisi Anahtarlar
- Supervisor Engine 2T veya 6T ile Catalyst 6800 Serisi Anahtarlar
Show Running-config’i kullanın | bir aygıtın bağlantı noktası güvenliği kurulumuna sahip olup olmadığını öğrenmek için arayüz|port-güvenlik komutunu ekleyin.
Bu güvenlik açığı, bir arayüzde bağlantı noktası güvenliğinin etkinleştirilmesi durumunda cihazı etkiler.
Show Running-config’i kullanın | Bir aygıtta aygıt sınıflandırıcının yapılandırılmış olup olmadığını görmek için aygıt sınıflandırıcı komutunu dahil edin.
Komutun çıktı döndürmesi durumunda aygıt bu güvenlik açığından etkilenebilir.
Show Running-config’i kullanın | Bir cihazın AAA ile yapılandırılıp yapılandırılmadığını öğrenmek için system-auth-control|interface|port-control|mab komutunu ekleyin.
Bu güvenlik açığı, arayüzde AAA’nın etkinleştirildiği cihazı etkiler.
Hassas Olmayan Ürünler
Cisco’ya göre aşağıdaki Cisco ürünleri bu sorundan etkilenmemektedir.
- IOS XE Yazılımı
- IOS XR Yazılımı
- Meraki ürünleri
- NX-OS Yazılımı
Cisco, aşağıdaki Cisco IOS platformlarının bu güvenlik açığından etkilenmediğini doğrulamıştır:
- Catalyst 1000 Serisi Anahtarlar
- Catalyst 2000 Serisi Anahtarlar
- Catalyst 3000 Serisi Anahtarlar
- Catalyst 4000 Serisi Anahtarlar
- Catalyst 9000 Serisi Anahtarlar
Bu güvenlik açığını giderecek herhangi bir geçici çözüm yoktur. Bu güvenlik açığının oluşturduğu riski azaltmak için kullanıcıların uygun sabit yazılım sürümüne yükseltme yapmaları önerilir.
Cisco, bu güncellemeleri hizmet sözleşmesi olan müşteriler için her zamanki güncelleme kanallarından erişilebilecek şekilde ücretsiz hale getirdi.
Hizmet sözleşmesi olmayan müşteriler için, ücretsiz yükseltme hakkına sahip olduklarının kanıtı olarak ürün seri numarası ve danışma belgesinin URL’si ile Cisco Teknik Yardım Merkezi (TAC) ile iletişime geçilerek yükseltmeler elde edilebilir.
Secure your emails in a heartbeat! Take Trustifi free 30-second assessment and get matched with your ideal email security vendor - Try Here