Uwaga na lukę w zabezpieczeniach przełączników Cisco Nexus. Możliwe przeprowadzenie DoS!

W czym tkwi problem?

Problem dotyczy mechanizmu monitorowania stanu przełączników i może skutkować nieoczekiwanym ponownym uruchomieniem urządzeń. Luka wynika z błędnego przetwarzania określonych ramek Ethernet. Atakujący, który znajduje się w tej samej sieci, może ją wykorzystać, przesyłając spreparowane pakiety do podatnego urządzenia.

Jeśli atak się powiedzie, przełącznik zostanie ponownie załadowany, co może zakłócić działanie sieci.

Cisco Product Security Incident Response Team (PSIRT) informuje, że nie odnotowano żadnych publicznych doniesień na temat tej podatności ani przypadków jej złośliwego wykorzystania. Luka została wykryta w ramach wewnętrznych testów bezpieczeństwa.

Podatne wersje produktów

Podatność otrzymała numer  CVE-2025-20111. Dotyczy wybranych przełączników Cisco, gdzie  działa podatna wersja systemu Cisco NX-OS, niezależnie od konfiguracji urządzenia. W szczególności obejmuje:

• przełączniki Nexus serii 3100,
• przełączniki Nexus serii 3200,
• przełączniki Nexus serii 3400,
• przełączniki Nexus serii 3600,
• przełączniki Nexus serii 9200 w trybie autonomicznym NX-OS,
• przełączniki Nexus serii 9300 w trybie autonomicznym NX-OS,
• przełączniki Nexus serii 9400 w trybie autonomicznym NX-OS.

Cisco potwierdziło, że inne urządzenia, w tym przełączniki Firepower, MDS oraz niektóre modele Nexus, nie są podatne. Szczegółowy wykaz zagrożonych urządzeń znajduje się w przewodniku Cisco Security Indicators of Compromise Reference Guide.

Skuteczne wykorzystanie luki w Nexus serii 3100 i 3200 może prowadzić do kolejnych niepowodzeń testów diagnostycznych L2ACLRedirect oraz RewriteEngineLoopback, wpływając na stabilność działania urządzenia. W przypadku dziesięciu kolejnych niepowodzeń testu w pliku dziennika systemowego zostaną zapisane następujące komunikaty syslog:

SWITCH %$ VDC-1 %$ %DIAGCLIENT-2-EEM_ACTION_HM_SHUTDOWN: Test has been disabled as a part of default EEM action
SWITCH %$ VDC-1 %$ %DIAG_PORT_LB-2-L2ACLREDIRECT_LOOPBACK_TEST_FAIL: Module:1 Test:L2ACLRedirect Loopback failed 10 consecutive times. Faulty module: affected ports:1 Error:Loopback test failed. Packets lost on the SUP in the receive direction
SWITCH %$ VDC-1 %$ %EEM_ACTION-0-EMERG: l2aclFailed

Źródło: Cisco

Należy w nich zwrócić szczególną uwagę na komunikaty syslog, takie jak „L2ACLREDIRECT_LOOPBACK_TEST_FAIL” lub „REWRITE_ENGINE_LOOPBACK_TEST_FAIL”, które mogą sygnalizować potencjalne zagrożenie prowadzące do ponownego uruchomienia urządzenia z kodem przyczyny „Kernel Panic”.

Warto jednak zauważyć, że niepowodzenia testów diagnostycznych mogą wynikać również z innych, niezwiązanych z powyższą podatnością przyczyn.

Zalecane działania naprawcze

Cisco udostępniło aktualizacje oprogramowania eliminujące lukę. Klienci posiadający aktywne umowy serwisowe powinni pobrać poprawki za pośrednictwem standardowych kanałów aktualizacji. Firma zaleca również zapoznanie się z oficjalnymi poradami dotyczącymi bezpieczeństwa produktów Cisco, aby ocenić poziom narażenia i określić odpowiednią ścieżkę aktualizacji.

W celu identyfikacji podatności można skorzystać z narzędzia Cisco Software Checker, które pomaga zweryfikować wpływ danej luki na konkretną wersję oprogramowania NX-OS oraz wskazuje najwcześniejszą wersję zawierającą poprawkę.