Albisteak

Arrisku handiko ahultasunak Cisco IOS eta IOS XE softwarean

Argitalpen-data: 

Laburpen exekutiboa

CVSS puntuazioak 7.4 eta 8.8 artean dituzten arrisku handiko ahultasunak identifikatu dira, Cisco IOS eta IOS XE softwarean eragina dutenak. Ahultasun hauek erasotzaile autentifikatu edo autentifikatu gabeek sistemaren osotasuna arriskuan jar dezakete eta zerbitzuen etenak eragin, gailu kritikoen erabilgarritasuna kolokan jarriz. Horien artean nabarmentzen da CVE-2025-20352, Cisco produktuen segurtasun-istripuen erantzun taldeak (PSIRT) jakinarazi duena, ingurune errealetan arrakastaz ustiatu zela tokiko administratzailearen kredentzialak komprometitu ondoren. Gomendatzen da ahultasun hauek lehenbailehen arintzea, mehatxu esanguratsu hauen aurrean ebaluazioa eta adabakiak aplikatzea lehenetsiz.

Eragindako baliabideak

  • Cisco IOS XE Software SNMP (bertsioak 1, 2c, eta 3)
  • Cisco IOS eta IOS XE Software (bertsioak zehaztu gabe, baina CVE-2025-20352k eragindakoak)
  • Meraki MS390 (17.15.4a baino lehenagoko bertsioak)
  • Cisco Catalyst 9300 Series Switches (17.15.4a baino lehenagoko bertsioak)
  • Cisco IOS XE Software (eragindako bertsioak zehaztu gabe, baina Bypass Secure Boot ahultasuna)
  • Cisco IOS XE Software (eragindako bertsioak zehaztu gabe, baina NBAR ahultasuna)
  • Cisco IOS XE Software (eragindako bertsioak zehaztu gabe, baina HTTP API ahultasuna)
  • Cisco IOS eta IOS XE Software (eragindako bertsioak zehaztu gabe, baina TACACS+ ahultasuna)
  • Cisco Industrial Ethernet Series Switches:
    • IE 2000 Series
    • IE 3010 Series
    • IE 4000 Series
    • IE 4010 Series
    • IE 5000 Series
  • Cisco Catalyst 9000 Series Switches (9200, 9300, 9400, 9500, 9600 barne)

Azterketa teknikoa

  • CVE-2025-20334: Cisco IOS XE softwareko HTTP API azpistema batean ahultasun bat dago, urruneko erasotzaile batek root pribilegioekin exekutatuko diren komandoak injetatzea ahalbidetu dezake. Ahultasun hau sarrera balidazio ez nahikoa izateagatik gertatzen da. Pribilegio administratiboak dituen erasotzaile batek ahultasun hau aprobetxatu dezake sisteman autentifikatuz eta datu manipulatuak dituzten API deiak eginez. Bestela, autentifikatu gabeko erasotzaile batek sistema konektatuta dagoen administratzaile pribilegiadun bat manipulatutako esteka batean klik egitera iruzur egin dezake. Aprobetxamendu arrakastatsu batek erasotzaileari komando arbitrarioak root erabiltzaile gisa exekutatzeko aukera emango lioke.
    • CWE-77
    • CVSS: 8.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2025-20315: Cisco IOS XE softwareko Sarea Oinarritutako Aplikazioen Ezagutza (NBAR) funtzioan ahultasun bat dago, urruneko autentifikatu gabeko erasotzaile batek eragindako gailu bat berrabiaraztea ahalbidetu dezake, zerbitzuen ukapen (DoS) baldintza sortuz. Ahultasun hau Wireless Access Pointen Control eta Provisioning (CAPWAP) pakete maltzurren manipulazio okerragatik gertatzen da. Erasotzaile batek ahultasun hau aprobetxatu dezake pakete CAPWAP maltzurrak gailu eragindako bati bidaliz. Aprobetxamendu arrakastatsu batek erasotzaileari gailua ustekabean berrabiarazteko aukera emango lioke, DoS baldintza sortuz.
    • CWE-805
    • CVSS: 8.6 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2025-20160: Cisco IOS Software eta Cisco IOS XE Softwareko TACACS+ protokoloaren inplementazioan ahultasun bat dago, urruneko autentifikatu gabeko erasotzaile batek datu sentikor batzuk ikustea edo autentifikazioa saihestea ahalbidetuz. Ahultasun hau TACACS+ partekatu sekretua beharrezkoa ondo konfiguratu ez izateagatik gertatzen da. Erasotzaile batek, makina-en-el-medio motakoa, ahultasun hau aprobetxatu dezake TACACS+ mezurik enkriptatu gaberik irakurri eta iruzurrezko autentifikazio eskaerak onartuz. Aprobetxamendu arrakastatsu batek erasotzaileari TACACS+ mezutan informazio sentikorra ikusteko aukera emango lioke edo autentifikazioa saihesteko eta gailu eragindakoan sartzeko aukera emango lioke.
    • CWE-287
    • CVSS: 8.1 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2025-20327: Cisco IOS softwareko web interfazean ahultasun bat dago, urruneko autentifikatuta dagoen pribilegio baxuko erasotzaile batek gailu eragindakoan zerbitzuen ukapen (DoS) baldintza sortzea ahalbidetuz. Ahultasun hau sarrera balidazio okerragatik gertatzen da. Erasotzaile batek ahultasun hau aprobetxatu dezake HTTP eskaera batean URL manipulatu bat bidaliz. Aprobetxamendu arrakastatsu batek erasotzaileari gailu eragindakoa berrabiarazteko aukera emango lioke, DoS baldintza sortuz.
    • CWE-1287
    • CVSS: 7.7 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2025-20352: Cisco IOS eta Cisco IOS XE softwareko Simple Network Management Protocol (SNMP) azpisteman ahultasun bat dago, hurrengoak ahalbidetuz: Urruneko autentifikatuta dagoen pribilegio baxuko erasotzaile batek gailu eragindakoan zerbitzuen ukapen (DoS) baldintza sortzea ahalbidetuko du, Cisco IOS edo Cisco IOS XE softwarea exekutatzen ari den gailu batean. DoS sortzeko, erasotzaileak SNMPv2c edo aurreko irakurketarako komunitate kate bat izan behar du, edo SNMPv3 erabiltzaile kredentzial baliozkoak. Urruneko autentifikatuta dagoen pribilegio altuko erasotzaile batek root erabiltzaile gisa kodea exekutatzea ahalbidetuko du Cisco IOS XE softwarea exekutatzen ari den gailu batean. Root erabiltzaile gisa kodea exekutatzeko, erasotzaileak SNMPv1 edo v2c irakurketarako komunitate kate bat, edo SNMPv3 erabiltzaile kredentzial baliozkoak eta gailu eragindakoan administratiboak edo pribilegio 15eko kredentzialak izan behar ditu. Erasotzaile batek ahultasun hau aprobetxatu dezake SNMP pakete bat gailu eragindako bati bidaliz IPv4 edo IPv6 sareen bidez. Ahultasun hau gailu eragindako SNMP azpisteman pilako gainezka baldintza bat izateagatik gertatzen da. Aprobetxamendu arrakastatsu batek pribilegio baxuko erasotzaileari gailu eragindakoa berrabiarazteko aukera emango lioke, DoS baldintza sortuz, edo pribilegio altuko erasotzaileari kode arbitrarioa exekutatzea root erabiltzaile gisa eta gailu eragindakoaren kontrol osoa lortzea ahalbidetuko lioke. Oharrak: Ahultasun honek SNMPren bertsio guztiak eragiten ditu.
    • CWE-121
    • CVSS: 7.7 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
    • Esplotazioa: Detektatua
  • CVE-2025-20312: Cisco IOS XE softwareko Simple Network Management Protocol (SNMP) azpisteman ahultasun bat dago, urruneko autentifikatuta dagoen erasotzaile batek gailu eragindakoan zerbitzuen ukapen (DoS) baldintza sortzea ahalbidetuz. Ahultasun hau SNMP eskaera zehatz bat aztertzerakoan errore kudeaketa okerragatik gertatzen da. Erasotzaile batek ahultasun hau aprobetxatu dezake gailu eragindako bati SNMP eskaera zehatz bat bidaliz. Aprobetxamendu arrakastatsu batek erasotzaileari gailua ustekabean berrabiarazteko aukera emango lioke, DoS baldintza sortuz. Ahultasun honek SNMP 1, 2c eta 3 bertsioak eragiten ditu. SNMPv2c edo aurreko bertsioen bidez ahultasun hau aprobetxatzeko, erasotzaileak gailu eragindakoarentzako irakurri-idazteko edo irakurri soilik SNMP komunitate kate baliozko bat ezagutu behar du. SNMPv3 bidez ahultasun hau aprobetxatzeko, erasotzaileak gailu eragindakoarentzako SNMP erabiltzaile kredentzial baliozkoak izan behar ditu.
    • CWE-835
    • CVSS: 7.7 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2025-20311: Cisco IOS XE Softwareko Catalyst 9000 serieko switch-en Ethernet marken kudeaketan ahultasun bat dago, autentifikatu gabeko eta ondoan dagoen erasotzaile batek irteera portu bat blokeatzea eta irteera trafikoa eten dezakeelarik. Ahultasun hau manipulatutako Ethernet marken kudeaketa okerragatik gertatzen da. Erasotzaile batek ahultasun hau aprobetxatu dezake gailu eragindako bati manipulatutako Ethernet markak bidaliz. Aprobetxamendu arrakastatsu batek erasotzaileari manipulatutako marka bidaltzen den irteera portuak markak baztertzea eragiteko aukera emango lioke, zerbitzuen ukapen (DoS) baldintza sortuz.
    • CWE-19
    • CVSS: 7.4 (altua)
    • CVSS bektorea: CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2025-20313: Cisco IOS XE Softwareko ahultasun anitzek autentifikatuta dagoen, 15eko pribilegio maila duten erasotzaile lokal batek edo gailuari fisikoki sarbidea duen autentifikatu gabeko erasotzaile batek kode iraunkorra exekutatzea eta fidagarritasun katean haustea ahalbidetuko dute. Ahultasun hauek bideak traversatzeko eta irudiaren integritatea balidatzeko okerra izateagatik gertatzen dira. Aprobetxamendu arrakastatsu batek erasotzaileari sistema azpikoan kode iraunkorra exekutatzea ahalbidetuko lioke. Erasotzaileak gailuaren segurtasun funtzio garrantzitsu bat saihesteko aukera ematen duenez, Cisco-k Segurtasun Eragin Kalifikazioa (SIR) iragarki honen irizpidea ertainetik altura igotzea erabaki du. Ahultasun hauei buruzko informazio gehiago lortzeko, iragarki honen xehetasunak atalean kontsultatu ["#details"].
    • CWE-35
    • CVSS: 6.7 (ertaina)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2025-20314: Cisco IOS XE Softwareko ahultasun bat dago, 15eko pribilegio maila duten autentifikatuta dagoen erasotzaile lokal batek edo gailu eragindakoan fisikoki sarbidea duen autentifikatu gabeko erasotzaile batek kode iraunkorra exekutatzea eta fidagarritasun katean haustea ahalbidetuko du. Ahultasun hau software paketeen balidazio okerragatik gertatzen da. Erasotzaile batek ahultasun hau aprobetxatu dezake gailu eragindakoan manipulatutako fitxategi bat kokatuz. Aprobetxamendu arrakastatsu batek erasotzaileari sistema azpikoan kode iraunkorra exekutatzea ahalbidetuko lioke. Erasotzaileak gailuaren segurtasun funtzio garrantzitsu bat saihesteko aukera ematen duenez, Cisco-k Segurtasun Eragin Kalifikazioa (SIR) iragarki honen irizpidea ertainetik altura igotzea erabaki du.
    • CWE-232
    • CVSS: 6.7 (ertaina)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez da detektatu

Arintzea/Konponbidea

TACACS+ protokoloan ahultasuna arintzeko, Cisco-k gomendatzen du gailuan konfiguratutako TACACS+ zerbitzari bakoitzak konfiguratutako partekatu sekretua izan dezala. SNMP protokoloa erabiltzerakoan segurtasuna optimizatzeko, administratzaileek OID ahultasunak baztertzen dituzten SNMP ikuspegiak sortu behar dituzte eta SNMP sarbidea sareko gailu fidagarrietatik soilik baimendu. Gainera, HTTP Server funtzioa desgaitzea gomendatzen da, aktibatuta badago, no ip http server eta no ip http secure-server aginduak erabiliz. Identifikatutako ahultasunak guztiz konpontzeko, Cisco-k softwarea iragarkietan adierazitako konponketa bertsioetara eguneratzea garrantzitsua dela azpimarratzen du.

Erreferentzia gehigarriak