Cisco Systems, bağımsız NX-OS modunda çalışan Nexus 3000 ve 9000 Serisi anahtarlarını etkileyen yeni açıklanan komut enjeksiyon güvenlik açığı için kritik bir güvenlik danışmanlığı yayınladı.
CVE-2025-20161 (CVSSV3 puanı: 5.1) olarak izlenen kusur, yazılım yükseltme prosedürleri sırasında kök seviyesi izinleri ile keyfi işletim sistemi komutları yürütmeleri için idari ayrıcalıklara sahip kimlik doğrulamalı saldırganları sağlar.
Cisco’nun güvenlik ekipleri tarafından dahili olarak keşfedilen güvenlik açığı, belirli yazılım görüntü bileşenleri için yetersiz doğrulama mekanizmalarından kaynaklanmakta ve kötü amaçlı aktörlerin yetkisiz komutları kurcalanmış ürün yazılımı paketlerine yerleştirmesine izin vermektedir.
Teknik Arıza ve İstismar Dinamikleri
Güvenlik açığı, Nexus 3000 anahtarları için 15.2 (9) E1’den önce Cisco NX-OS sürümlerinin görüntü doğrulama alt sisteminde ve Nexus 9000 cihazları için 10.4 (3A) F’de bulunur.
Bu kusurdan yararlanan saldırganlar önce geçerli yönetici kimlik bilgileri ve hedeflenen anahtarın yönetim arayüzüne fiziksel/mantıksal erişim almalıdır.
Meta veri alanları veya sağlama toplamı blokları içinde gizlenen gizli komut dizileri içeren özel hazırlanmış bir yazılım görüntüsü dağıtarak bir saldırgan imza doğrulama kontrollerini atlayabilir ve ürün yazılımı kurulum işlemi sırasında kötü amaçlı yüklerin yürütülmesini tetikleyebilir.
Önkoşul idari erişim nedeniyle saldırı karmaşıklığı nispeten yüksek kalırken, başarılı sömürü Switch’in Linux tabanlı temelleri üzerinde tam kontrol vermektedir.
Bu, ağ keşiflerini, trafik müdahalesini, yanal hareketi veya bağlı altyapı boyunca kalıcı arka kapı dağıtımlarını kolaylaştırabilir.
Cisco’nun danışmanlığı, saldırganların yönlendirme tablolarını manipüle etmek, şifreli trafik akışlarını engellemek veya standart saldırı algılama mekanizmalarını tetiklemeden ağ segmentasyon politikalarını bozmak için bu kusurdan yararlanabileceğini vurgulamaktadır.
Etkilenen ürünler ve azaltma stratejileri
Onaylanan etkilenen cihazlar şunları içerir:
- Nexus 3000 Serisi Anahtarlar (tüm modeller bağımsız NX-OS çalıştırıyor)
- Nexus 9000 Serisi Anahtarlar (yalnızca bağımsız NX-OS dağıtımları)
Cisco, uygulama merkezli altyapı (ACI) modunda, MDS 9000 depolama anahtarlarında ve bu güvenlik açığından tüm ateş gücü cihaz dizisinde çalışan Nexus 9000 anahtarlarını açıkça hariç tutar.
Nexus 5500/5600/6000/7000 donanım veya UCS kumaş ara bağlantıları kullanan kuruluşlar etkilenmez.
Uygulanabilir geçici çözüm olmadığından, Cisco yamalı ürün yazılımı sürümlerinin derhal kurulumunu zorunlu kılar:
- Nexus 3000 Serisi: NX-OS 15.2 (9) E1 veya daha yeni
- Nexus 9000 Serisi: NX-OS 10.4 (3A) F’ye veya sonraki sürümlere geçiş yapın
Ağ yöneticileri, cihazlarının güvenlik açığı durumunu doğrulamak ve kriptografik olarak imzalanmış yazılım paketlerini indirmek için Cisco Yazılım Denetleyici Portalını kullanmalıdır.
Şirket ayrıca, işletmelere, güncellemeleri dağıtmadan önce çok partili SHA-256 karma doğrulaması da dahil olmak üzere katı ürün yazılımı provenans kontrolleri uygulamalarını ve rol tabanlı erişim kontrollerini (RBAC) Switch yönetimi arayüzlerine yönetici erişimi kısıtlamalarını önermektedir.
Cisco’nun Ürün Güvenliği Olay Müdahale Ekibi (PSIRT), aktif sömürü olaylarının gözlemlenmediğini, ancak hızlandırılmış yama dağıtım döngülerini teşvik ettiğini doğrulamıyor.
Hemen yükseltilemeyen kuruluşlar için, beklenmedik yapılandırma değişiklikleri veya yetkisiz CLI komut etkinliği için ağ segmentasyonu ve sürekli izleme temel telafi edici kontroller olmaya devam etmektedir.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free