Cisco’nun Nexus gösterge paneli kumaş denetleyicisinde (NDFC), kimlik doğrulanmamış saldırganların tehlikeye atılan SSH bağlantıları aracılığıyla yönetilen ağ cihazlarını taklit etmesine izin verebilecek yüksek şiddetli bir güvenlik açığı keşfedilmiştir.
CVE-2025-20163 olarak izlenen güvenlik açığı, 8.7 CVSS taban puanı taşır ve cihaz yapılandırmasına bakılmaksızın Cisco NDFC’nin tüm sürümlerini etkiler.
Reqon BV’den güvenlik araştırmacıları, NDFC altyapısındaki yetersiz SSH ana bilgisayar temel doğrulama mekanizmalarından kaynaklanan kusurları belirlediler.
.png
)
Cisco NDFC SSH Güvenlik Açığı
Güvenlik açığı, Cisco NDFC’nin SSH uygulamasında, özellikle CWE-322 (varlık kimlik doğrulaması olmadan anahtar değişim) ile ilişkili temel bir zayıflıktan yararlanmaktadır.
Etkilenen sistem, bağlantı kuruluşu sırasında SSH ana bilgisayar anahtarlarını doğru bir şekilde doğrulayamaz ve kötü niyetli aktörlerin ortada makine (MITM) saldırıları gerçekleştirme fırsatı yaratır.
Teknik Sınıflandırma CVSS: 3.1/AV: N/AC: H/PR: N/UI: N/S: C/C: H/I: H/A: N/E: X/RL: X/RC: X, saldırı karmaşıklığı yüksek olsa da, kullanıcı etkileşimi gerektirmediğini ve önceden kimlik doğrulaması olmadan yeniden yürütülebileceğini gösterir.
Daha önce 11.5 ve önceki sürümlerde Veri Merkezi Ağ Yöneticisi (DCNM) olarak bilinen Cisco NDFC, veri merkezi ağı kumaşları için merkezi bir yönetim platformu olarak hizmet vermektedir.
Güvenlik açığı, Cisco Bug ID CSCWM501 altında kataloglanır ve NDFC’nin ağ cihazlarını yönetmek için kullandığı temel SSH iletişim protokollerini etkiler.
Kusur, saldırganların kendilerini NDFC denetleyicisi ve yönetilen cihazlar arasında konumlandırmasına izin vererek, şebeke yönetimi trafiğini potansiyel olarak ele geçirir ve manipüle eder.
Bu güvenlik açığının sömürülmesi, saldırganların Cisco NDFC tarafından yönetilen cihazlara karşı sofistike taklit saldırıları yapmalarını sağlar.
Tehdit aktörleri, yetersiz SSH ana bilgisayar anahtar doğrulamasından yararlanarak, hem NDFC denetleyicisi hem de ağ yöneticileri için meşru görünen hileli SSH bağlantıları kurabilir.
Bu konumlandırma, saldırganların hassas kullanıcı kimlik bilgilerini yakalamasına, yapılandırma değişikliklerini kesmesine ve potansiyel olarak ağ yönetimi iş akışına kötü niyetli komutlar enjekte etmesine olanak tanır.
Ortaya yapılan makine saldırısı vektörü, tehlikeye atılan kimlik bilgileri daha geniş ağ uzlaşmasına yol açabileceğinden, kurumsal ağ güvenliği için önemli riskler oluşturmaktadır.
Bu güvenlik açığından başarılı bir şekilde yararlanan saldırganlar, kritik ağ altyapısı bileşenlerine yetkisiz erişim sağlayabilir, cihaz yapılandırmalarını değiştirebilir veya yönetilen ağ ortamında kalıcı arka kaplar oluşturabilir.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | NDFC 12.2.3’ten önceki tüm sürümler, daha önce Cisco Veri Merkezi Ağ Yöneticisi (DCNM) 11.5 ve daha önceki olarak markalanmış sürümler dahil. |
| Darbe | Cihaz kimliğine bürünme saldırılarını etkinleştirir |
| Önkoşuldan istismar | -NDFC ve yönetilen cihazlar arasındaki SSH iletişim kanallarına ağ erişimi-TCP bağlantı noktası 22 trafiğine ortada makine (MITM) saldırıları gerçekleştirme yeteneği. |
| CVSS 3.1 puanı | 8.7 (Yüksek) |
Hafifletme
Cisco, etkilenen sistemler için mevcut geçici çözümler olmadan bu güvenlik açığını ele almak için kapsamlı yazılım güncellemeleri yayınladı.
Savunmasız sürümleri çalıştıran kuruluşlar, gerekli güvenlik düzeltmelerini içeren NDFC sürümü 12.2.3’ü içeren Cisco Nexus Dashboard Sürüm 3.2 (2F) ‘ye geçmelidir.
Düzeltme, mevcut dağıtımlarla geri uyumluluğu korumak için varsayılan olarak devre dışı kalan yeni bir SSH ana bilgisayar anahtar doğrulama özelliği sunar.
Cisco Nexus Dashboard Sürüm 3.1 kullanan müşteriler için, bu sürüm için hiçbir yama bulunmadığından, sabit sürümün hemen geçişi gereklidir.
Düzeltme, yetkisiz cihaz taklit etme girişimlerini önleyen geliştirilmiş SSH ana bilgisayar anahtar doğrulama mekanizmalarını uygular.
Ağ yöneticileri, uygun konfigürasyon yönlendirmesi için Cisco NDFC belgelerinin genel bakış ve ilk kurulumunun SSH Ana Ana Uyumsuzluk bölümüne danışmalıdır.
Yüksek CVSS puanı ve kimlik bilgisi uzlaşma potansiyeli göz önüne alındığında kuruluşlar bu güncellemeye öncelik vermelidir. Cisco, gelecekteki sürümlerde yeni SSH ana bilgisayar temel doğrulama özelliğini varsayılan olarak etkinleştirmeyi planlıyor ve bu güvenlik artışının kritik doğasını vurguluyor.
Tehdit istihbarat aramasıyla tehdit araştırmalarını hızlandırın ve zenginleştirin! -> 50 Deneme Arama İsteği