Cisco, CVE-2025-20163 olarak izlenen Nexus gösterge paneli kumaş denetleyicisinde (NDFC) kritik bir SSH Ana Ana Anahtar Doğrulama Güvenlik Açığı ile ilgili olarak yüksek şeffaf bir güvenlik danışmanlığı (ID: Cisco-SA-NDFC-SHKV-SNQJTJRP) yayınladı.
CVSS 3.1 baz puanı 8.7 atanan kusur, kimlik doğrulanmamış, uzak saldırganların Cisco NDFC tarafından yönetilen cihazları taklit etmesine izin vererek veri merkezi altyapısında önemli riskler oluşturmasına izin verebilir.
Güvenlik açığı, SSH ana bilgisayar anahtarlarının (CWE-322: varlık kimlik doğrulaması olmadan anahtar değişimi) yetersiz doğrulanmasından kaynaklanır ve saldırganların NDFC tarafından yönetilen cihazlara SSH bağlantılarına ortada makine (MITM) saldırıları gerçekleştirmesini sağlar.
.png
)
Bunu kullanarak, tehdit aktörleri hassas trafiği engelleyebilir ve kullanıcı kimlik bilgilerini yakalayabilir ve potansiyel olarak kritik ağ kaynaklarına yetkisiz erişim elde edebilir.
Etkilenen versiyonlar ve teknik etki
Güvenlik açığı, Legacy Cisco Veri Merkezi Ağ Yöneticisi (DCNM) sürümlerinin yanı sıra Cisco Nexus gösterge paneli birleşik yazılımının birkaç sürümünü de dahil olmak üzere 12.2.3’ten önceki tüm Cisco NDFC sürümlerini etkiler.
Sorun cihaz yapılandırmasına bağlı değildir; Etkilenen sürümleri kullanan tüm dağıtımlar risk altındadır.
Teknik zayıflık, SSH bağlantıları sırasında cihazların özgünlüğünü sağlamak için kritik olan katı SSH ana bilgisayar temel doğrulamasının eksikliğinden kaynaklanmaktadır.
Bu doğrulama olmadan, saldırganlar Rogue SSH anahtarlarını sunabilir ve NDFC ve yönetilen cihazlar arasındaki trafiği kesebilir veya manipüle edebilir.
SSH Ana Ana Doğrulama hatası örneği (bağlam için):
bash@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
...
Host key verification failed.
SSH kullanıcılarına aşina olan bu uyarı, ana bilgisayar anahtar doğrulaması düzgün bir şekilde uygulanmadığında riski vurgular.
Etkilenen ve sabit sürümler
| Cisco Nexus gösterge paneli sürümü | Durum | İlk Sabit Sürüm |
|---|---|---|
| 3.1 | Etkilenen | Sabit olmak için göç et |
| 3.2 | Etkilenen | 3.2 (2f) |
| <12.2.3 (NDFC) | Etkilenen | 12.2.3 |
NDFC Sürüm 12.2.3 ile başlayarak, SSH ana bilgisayar temel doğrulaması, endüstri en iyi uygulamalarına benzer şekilde uygulanmaktadır.
Bu özellik şu anda varsayılan olarak geriye dönük uyumluluk için devre dışı bırakılmıştır, ancak gelecekte varsayılan olarak etkinleştirilmesi planlanmaktadır sürümler.
Şu anda bu güvenlik açığı için hiçbir geçici çözüm yoktur.
Cisco, sorunu ele alan ücretsiz yazılım güncellemeleri yayınladı ve müşterilerin mümkün olan en kısa sürede sabit bir sürüme yükseltme çağrısı yapıldı.
Düzeltme, yöneticilerin MITM saldırıları riskini azaltmayı sağlayabilecekleri yeni bir SSH ana bilgisayar temel doğrulama özelliği sunar.
Önerilen Eylemler:
- NDFC’yi sürüm 12.2.3 veya üstüne yükseltin veya Cisco Nexus Dashboard 3.2 (2f) veya daha sonra geçiş yapın.
- Yönetilen cihazlarda SSH yapılandırmalarını doğrulayın ve güncelleyin.
- Ek güvenlik önlemleri olarak şüpheli SSH etkinliği için ağ segmentasyonunu ve monitörünü uygulayın.
Cisco’nun Ürün Güvenliği Olay Müdahale Ekibi (PSIRT), 5 Haziran 2025 itibariyle bu güvenlik açığı ile ilgili herhangi bir kamu sömürüsünün veya duyuruların farkında değildir.
Bununla birlikte, gizlilik ve dürüstlük üzerindeki yüksek etki göz önüne alındığında, kuruluşlar kritik altyapıyı korumak için iyileştirmeye öncelik vermelidir.
Daha fazla teknik detay için Cisco’nun resmi danışmanlığına ve ürün belgelerine danışın.
Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun