Cisco Systems, bağımsız NX-OS modunda çalışan Nexus 3000 ve 9000 Serisi anahtarlarında yüksek şiddetli bir güvenlik açığı (CVE-2025-20111) açıkladı.
Güvenlik açığı, kimlik doğrulanmamış saldırganların hazırlanmış Ethernet çerçeveleri aracılığıyla hizmet reddi (DOS) koşullarını tetiklemesini sağlar.
CVSS v3.1 ölçeğinde 7.4 olarak derecelendirilen kusur, işletme ve veri merkezi ortamlarında yaygın olarak kullanılan kritik altyapı bileşenlerini etkiler.
Güvenlik açığının teknik dökümü
Güvenlik açığı, anahtarların sağlık izleme teşhis alt sistemi içindeki belirli Ethernet çerçevelerinin yanlış kullanımıdır.
Bu kusurdan yararlanan saldırganlar, savunmasız cihazlara sürekli bir kötü amaçlı paket akışı göndererek beklenmedik yeniden yüklemelere ve uzun süreli hizmet aksaklıklarına neden olabilir.
Kimlik doğrulama veya idari erişim gerektiren güvenlik açıklarından farklı olarak, bu zayıflık, bitişik saldırganların – hedef cihaza yakınlık olanların – kimlik bilgileri olmadan saldırıları yürütmesine izin verir.
Cisco’nun danışmanlığı, sömürünün veri hırsızlığına veya sistem ele geçirilmesine izin vermediğini, ancak tekrarlanan cihaz yeniden başlatmalarının operasyonel risklerini vurguladığını açıklar.
Yüksek kullanılabilirlik ortamlarında, bu tür kesintiler kritik uygulama kesinti süresine, finansal kayıplara ve uyum ihlallerine dönüşebilir.
Etkilenen ürünler ve azaltma önlemleri
Etkilenen donanım şunları içerir:
- Nexus 3000 Serisi: 3100, 3200, 3400 ve 3600 modeller
- Nexus 9000 Serisi: 9200, 9300 ve 9400 anahtarlar bağımsız NX-OS çalıştırıyor
Cisco, Nexus 7000 Serisi, MDS 9000 Serisi anahtarları ve uygulama merkezli altyapı (ACI) modunda çalışan tüm Nexus 9000 cihazları dahil olmak üzere çeşitli ürün hatları için bağışıklığı doğruladı.
Şirket, kusuru ele alan yamalı yazılım sürümleri yayınladı ve savunmasız sistemler için acil yükseltmeler öneriyor.
Güncellemeleri derhal dağıtamayan kuruluşlar için kötü niyetli trafiği filtrelemek için erişim kontrol listesi (ACL) değişiklikleri gibi geçici çözümler mevcuttur.
Bu güvenlik açığı, genellikle yüksek ayrıcalıklarla çalışan ağ sağlığı izleme sistemlerinde bulunan riskleri vurgular.
Birçok kurumsal ağın omurgasını oluşturan Nexus anahtarları ile, yaygın sömürü sağlık ve finans sektörlerini bozabilir.
Cisco’nun Ürün Güvenliği Olay Müdahale Ekibi (PSIRT), bu danışmanlığı Cisco’nun anahtarlama ve güvenlik duvarı platformları için kritik düzeltmeleri detaylandıran üç aylık bir yayın olan Şubat 2025 FXOS/NX-OS Güvenlik Danışma Paketi’ne dahil etti.
Koordineli açıklama, ağ yöneticilerine ayrıntılı yükseltme yolları ve azaltma stratejileri sağlayarak Cisco’nun standart güvenlik açığı yönetimi uygulamalarını takip ediyor.
Ağ operatörleri için öneriler
- Yama dağıtımına öncelik ver: Cisco’nun sabit yazılım sürümlerini, şirketin yazılım merkezi üzerinden sunulan etkilenen cihazlara uygulayın.
- Trafik filtrelemesini uygulayın: Sağlık izleme alt sistemini hedefleyen anormal Ethernet çerçevelerini engellemek için ACL’ler kullanın.
- Segment Hassas Ağlar: Mikrosegmentasyon ve sıfır-tröst mimarileri yoluyla nexus anahtarlarına bitişik erişimi kısıtlayın.
- Olayları Yeniden Yükle Monitör: Sökülme girişimlerini gösteren beklenmedik cihaz yeniden başlatmalarını ve trafik modellerini izlemek için ağ izleme araçlarını dağıtın.
İşletmeler giderek daha fazla otomatik ağ altyapılarına dayandıkça, bu güvenlik açığı titiz yama yönetimi döngülerinin ve derinlemesine savunma stratejilerinin önemini vurgulamaktadır.
Basın zamanında kamuya açık bir şekilde istismar olmadan Proaktif Azaltma, kuruluşlara ağlarını potansiyel saldırılara karşı korumak için kritik bir pencere sunar.
Teknik özellikler için, Cisco’nun tam danışmanlığı (Cisco-SA-N3KN9K-Healthdos-EOQSWK4G) yapılandırma kılavuzu ve yama zaman çizelgeleri sağlar.
Güvenlik ekipleri, Cisco’nun etkilenen ürünler listesine karşı altyapılarını çapraz referans almalı ve bu kalıcı tehdit vektörünü etkisiz hale getirmek için iyileştirme iş akışlarını başlatmalıdır.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free