Cisco, NX-OS yazılımında kimliği doğrulanmamış uzak saldırganların etkilenen cihazlarda hizmet reddi (DoS) durumu oluşturmasına olanak tanıyabilecek kritik bir güvenlik açığını açıkladı.
CVE-2024-20270 olarak izlenen kusur, Cisco NX-OS Yazılımının belirli sürümlerindeki DHCPv6 röle aracı özelliğini etkiliyor.
Güvenlik açığı, DHCPv6 RELAY-REPLY mesajlarındaki belirli alanların uygunsuz şekilde işlenmesinden kaynaklanmaktadır. Bir saldırgan, güvenlik açığı bulunan bir cihazda yapılandırılmış herhangi bir IPv6 adresine hazırlanmış bir DHCPv6 paketi göndererek bunu istismar edebilir.
Başarılı olursa, bu istismar şuna neden olur: dhcp_snoop İşlemin çökmesine ve birden fazla kez yeniden başlatılmasına neden olur, bu da etkilenen cihazın yeniden yüklenmesini zorlar ve bir DoS durumu oluşmasına yol açar.
Etkilenen ürünler arasında Cisco Nexus 3000 ve 7000 Serisi Anahtarlar ile bağımsız NX-OS modunda çalışan Nexus 9000 Serisi Anahtarlar yer almaktadır. Özellikle, DHCPv6 röle aracısı etkinleştirilmiş ve en az bir IPv6 adresi yapılandırılmış Cisco NX-OS Yazılım Sürümü 8.2(11), 9.3(9) veya 10.2(1) çalıştıran cihazlar savunmasızdır.
Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot
Güvenlik duyurusuna göre Cisco, bu güvenlik açığının aşağıdaki Cisco ürünlerini etkilemediğini doğruladı:
- Ateş Gücü 1000 Serisi
- Ateş Gücü 2100 Serisi
- Ateş Gücü 4100 Serisi
- Firepower 9300 Güvenlik Cihazları
- MDS 9000 Serisi Çok Katmanlı Anahtarlar
- VMware vSphere için Nexus 1000 Sanal Kenar
- VMware vSphere için Nexus 1000V Anahtarı
- Nexus 5500 Platform Anahtarları
- Nexus 5600 Platform Anahtarları
- Nexus 6000 Serisi Anahtarlar
- ACI modunda Nexus 9000 Serisi Fabric Switch’ler
- Güvenli Güvenlik Duvarı 3100 Serisi
- Güvenli Güvenlik Duvarı 4200 Serisi
- UCS 6200 Serisi Yapı Bağlantıları
- UCS 6300 Serisi Yapı Bağlantıları
- UCS 6400 Serisi Yapı Bağlantıları
- UCS 6500 Serisi Yapı Bağlantıları
Bu ürünler, duyuruda açıklanan DHCPv6 röle aracısının hizmet reddi güvenlik açığına karşı açıkça savunmasız olarak listelenmiştir.
Cisco, bu güvenlik açığını gidermek için yazılım güncellemeleri yayınladı ve müşterilerin mümkün olan en kısa sürede sabit bir sürüme yükseltmelerini şiddetle öneriyor. Şu anda bu güvenlik açığını tamamen hafifletmek için kullanılabilecek bir geçici çözüm bulunmamaktadır.
DHCP özelliği etkinleştirilmiş aygıtlar için, DHCPv6 röle aracısı işlevselliği gerekli değilse olası bir azaltma vardır. Yöneticiler, aygıt CLI’sinde “ipv6 dhcp rölesi yok” yapılandırma komutunu kullanarak DHCPv6 röle aracısını devre dışı bırakabilir.
Ancak Cisco, müşterilerine uygulama öncesinde kendi ortamlarındaki olası hafifletme önlemlerini dikkatlice değerlendirmelerini öneriyor.
Güvenlik açığı, bir Cisco Teknik Yardım Merkezi (TAC) destek vakasının çözümü sırasında keşfedildi. Açıklama sırasında, Cisco’nun Ürün Güvenliği Olay Müdahale Ekibi (PSIRT), bu güvenlik açığının herhangi bir kamu duyurusundan veya kötü amaçlı kullanımından haberdar değildi.
Etkilenen Cisco NX-OS cihazlarını kullanan kuruluşlar, bu güvenlik açığından yararlanan olası DoS saldırılarının riskini azaltmak için yamaları önceliklendirmelidir.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial