Cisco, kimlik doğrulanmamış saldırganların Hizmet Reddetme (DOS) koşullarına neden olmasına izin verebilecek birden çok yazılım platformunun Switch Entegre Güvenlik Özelliklerinde (SISF) kritik bir güvenlik açığını ele alan güvenlik güncellemeleri yayınladı.
Güvenlik açığı, DHCPV6 paketlerinin yanlış işlenmesinden kaynaklanmaktadır ve Cisco IOS yazılımını, iOS XE yazılımını, NX-OS yazılımını ve kablosuz LAN Denetleyicisi (WLC) AireOS yazılımını etkiler.
Bu zayıflıktan yararlanarak, saldırganlar etkilenen cihazları yeniden yüklemeye zorlayarak ağ işlemlerini bozabilir.
.png
)
Bu danışma, Cisco’nun Mayıs 2025 altı ayda bir demetli güvenlik yayınının bir parçasıdır ve derhal dikkat gerektiren önemli güvenlik açıklarını vurgulamaktadır.
Güvenlik kusuru (CSCWK04230, CSCVQ14413, CSCVO13585 ve CSCWJ888828 dahil olmak üzere birden fazla tanımlayıcı altında izlenir), birden fazla Cisco platformundaki SISF bileşenlerinde bulunur.
Teknik olarak, güvenlik açığı, kimlik doğrulanmamış ancak bitişik bir saldırganın etkilenen yazılımdaki DHCPV6 paketlerinin yanlış işlenmesinden yararlanmasına izin verir.
Saldırı vektörü, savunmasız SISF bileşeni tarafından işlendiğinde, uygunsuz bir kullanım koşulunu tetikleyen hedeflenen cihazlara özel olarak hazırlanmış DHCPV6 paketlerinin gönderilmesini gerektirir.
Bu durum, cihazı yeniden yüklemeye zorlar ve ağ bağlantısını ve hizmetlerini bozan bir hizmet reddi durumunu etkili bir şekilde yaratır.
Bitişiklik gereksinimi, saldırganların doğrudan bağlantılı bir ağ segmentinde olması gerektiği anlamına gelir, bu da saldırı kapsamını sınırlar, ancak bu kısıtlama içindeki etkinliği değildir.
Etkilenen ürünler ve algılama yöntemleri
Güvenlik açığı, SISF etkinken savunmasız yazılım sürümlerini çalıştıran birden fazla Cisco ürün hattını etkiler.
Etkilenen önemli ürünler arasında Cisco IOS yazılımı, iOS XE yazılımı (WLC’ler için belirli sürümler dahil), WLC AireOS yazılımı ve bağımsız modda Nexus 3000, 7000 ve 9000 serisi dahil NX-OS yazılımı çalıştıran birkaç Nexus Switch platformu bulunmaktadır.
Yöneticiler, cihazlarının çeşitli teşhis komutlarıyla savunmasız olup olmadığını belirleyebilir.
Cisco IOS ve iOS XE yazılımı için, “cihaz izleme politikalarını gösterin” veya “IPv6 gözetleme politikalarını göster” i çalıştırmak, yapılandırılmış politikaları göstererek SISF’in etkin olup olmadığını gösterecektir.
WLC AireOS yazılımı için yöneticiler, Global Config’in etkin olup olmadığını kontrol etmek için “IPv6 Özeti Göster” i kullanmalıdır.
NX-OS ortamlarında “IPv6 Snooping politikalarını gösterin”, özelliğin etkin olup olmadığını ortaya çıkaracaktır. Önemli olarak, Cisco, ACI modunda Firepower Serisi cihazları, Meraki ürünleri ve Nexus 9000 serisi de dahil olmak üzere çok sayıda ürünün etkilenmediğini doğruladı.
Azaltma stratejileri ve sabit yazılım
Cisco, bu güvenlik açığı için hiçbir geçici çözüm bulunmadığını ve yazılım güncellemelerini tek etkili çözüm haline getirdiğini vurgulamaktadır.
Şirket, etkilenen tüm platformlarda güvenlik açığını ele alan ücretsiz yazılım güncellemeleri yayınladı.
Cisco WLC AireOS yazılımı için sürüm 8.10.196.0 düzeltmeyi içerirken, daha önceki sürümler desteklenen sürümlere geçiş gerektirir.
Cisco hizmet sözleşmeleri olan müşteriler, normal güncelleme kanalları aracılığıyla güvenlik düzeltmeleri almalıdır.
Servis sözleşmeleri olmayanlar, gerekli güncellemeleri elde etmek için Cisco Teknik Yardım Merkezi (TAC) ile iletişime geçebilir ve danışma URL’sini yetkilendirme kanıtı olarak sağlar.
Cisco, yöneticilerin maruziyetlerini belirlemelerine ve uygun güncelleme yollarını belirlemelerine yardımcı olmak için yazılım denetleyicisi aracı sağlar.
Cisco’nun Ürün Güvenliği Olay Müdahale Ekibi’ne (PSIR) göre, bir Cisco TAC destek davasının çözümü sırasında keşfedildiği gibi, vahşi doğada bu kırılganlığın kamuya açık bir duyuru veya kötü niyetli kullanımı yapılmamıştır.
Etkilenen sistemlerin yöneticileri, ağ altyapılarını potansiyel sömürü ve hizmet kesintisinden korumak için bu güncellemelere öncelik vermelidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!