Cisco, Nexus 3000 ve 9000 Serisi anahtarlarında, saldırganların hazırlanmış ağ paketleri aracılığıyla hizmet reddi (DOS) saldırılarını tetiklemesine izin verebilecek tehlikeli bir güvenlik açığı hakkında yüksek şiddetli bir güvenlik danışma uyarısı yayınladı.
CVE-2025-20241 olarak izlenen ve 7.4 CVSS skoru atanan güvenlik açığı, Nexus 3000 Serisi Anahtarlar ve bağımsız NX-O modunda Nexus Serisi anahtarlarında çalışan Cisco NX-OS yazılımında Ara Sistem-Aralıklı Sistem (IS-IS) özelliğini etkiler.
Kusur, 27 Ağustos 2025’te Cisco’nun Güvenlik Danışmanlığı Cisco-SA-SA-N39K-ISIS-DOS-JHJA8RFX’te açıklandı.
| Alan | Detaylar |
| CVE tanımlayıcısı | CVE-2025-20241 |
| Danışmanlık kimliği | Cisco-N39K-ISIS-DOS-JHJA8RFX |
| CWE sınıflandırması | CWE-733 (Parametrelerin yanlış işlenmesi) |
| CVSS V3.1 Taban Puanı | 7.4 (Yüksek) |
| CVSS vektörü | AV: A/AC: L/PR: N/UI: N/S: C/C: N/I: N/A: H |
| Etkilenen ürünler | – Cisco Nexus 3000 Serisi Anahtarlar -Cisco Nexus 9000 Serisi Anahtarlar (bağımsız NX-OS modu) |
Güvenlik açığı, gelen IS paketlerini ayrıştırırken yetersiz giriş validasyonundan kaynaklanmaktadır.
Ağa bitişik kimlik doğrulanmamış bir saldırgan (Katman 2-bitişik), savunmasız cihazlara özel olarak hazırlanmış IS paketleri göndererek bu zayıflığı kullanabilir ve potansiyel olarak IS-IS sürecininsiz bir şekilde yeniden başlatılmasına ve tam bir cihaz yeniden yüklemesini tetiklemeye neden olur.
Teknik detaylar ve saldırı vektörü
IS-IS protokolü, dinamik yönlendirme için kurumsal ağlarda yaygın olarak kullanılan bir yönlendirme protokolüdür.
Bu güvenlik açığından başarılı bir şekilde yararlanmak için, saldırganlar hedef cihazla aynı ağ segmentinde konumlandırılmalı ve bu da özellikle ilk ağ erişimini kazanmış olan içeriden gelen tehditler veya saldırganlarla ilgili olmalıdır.
Saldırı mekanizması basit ama etkilidir: Matansiyonlu IS-Paketler, yönlendirme işleminin çökmesine neden olan ve tüm anahtarı yeniden yüklemeye zorlayan uygun giriş validasyonunu atlar.
Bu, ağ operasyonlarını bozabilecek ve iş sürekliliğini potansiyel olarak etkileyebilecek önemli bir hizmet reddi yaratır.
Cisco, kırılganlığın sadece UP durumunda bitişik bir IS akranından yararlanabileceğini doğruladı.
IS-IS kimlik doğrulaması ağda etkinleştirilirse, saldırganların bir miktar koruma sağlayarak istismarı başarıyla tetiklemek için geçerli kimlik doğrulama anahtarlarına ihtiyaçları vardır.
Etkilenen ürünler ve tespit
Güvenlik açığı özellikle etkiler:
- Cisco Nexus 3000 Serisi Anahtarlar
- Cisco Nexus 9000 Serisi Anahtarlar (yalnızca bağımsız NX-OS modunda)
Ağ yöneticileri, IS-IS protokolünün Running Config | ISIS’i dahil edin.
Savunmasız yapılandırmalar, ISIS, yönlendirici ISIS adı ve IP yönlendirici ISIS adının en az bir örneğini içeren özellikleri gösterecektir.
Bu güvenlik açığını potansiyel olarak kullanabilecek IS-IS akranlarını tanımlamak için, yöneticiler mevcut bitişiklik veritabanını görüntülemek için ISIS Bitişilik Komutanlığı’nı kullanmalıdır.
Cisco, bu güvenlik açığını tamamen ele alan yazılım güncellemeleri yayınladı ve şirket, birincil savunma önlemi olarak hemen yama yapmayı şiddetle tavsiye ediyor. Riski tam olarak azaltabilecek hiçbir geçici çözüm mevcut değildir.
Bununla birlikte, Cisco, IS-IS alan kimlik doğrulamasının en iyi uygulama azaltma stratejisi olarak uygulanmasını önermektedir.
Nispeten yüksek CVSS puanı ve tam cihaz arızası potansiyeli, etkilenen Cisco ekipmanlarını yöneten kuruluşlar için öncelikli bir sorun haline getirir.
Bu açıklamanın zamanlaması, Cisco’nun Ağustos 2025 Yedi Güvenlik Danışma Paketi’nin bir parçası olarak, satıcının günümüz tehdit manzarasında güncellenmiş ağ altyapısını korumanın kritik doğasını vurgularken, güvenlik açığı açıklamasına yönelik taahhüdünü göstermektedir.
Kuruluşlar, maruziyetlerini derhal değerlendirmeli ve kötü niyetli aktörler tarafından kullanılmadan önce bu güvenlik açığını ele almak için iyileştirme planları geliştirmelidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!