Albisteak

Inpaktu handiko kalteberatasunak Ciscoko ISE, NX-OS eta IOSen

Argitalpen-data: 

Cisco-k hainbat segurtasun-alerta argitaratu ditu ere produktuetako kalteberatasun kritiko eta handiei buruz. Cisco Identity Services Engine (ISE) eta ISE-PIC-en, CVE-2025-20124 eta CVE-2025-20125 kalteberatasunek, 9.9 eta 9.1 CVSS balioekin hurrenez hurren, komando arbitrarioak exekutatzeko eta konfigurazioak aldatzeko aukera eman lezakete. Cisco NX-OS Software-an, CVE-2024-20397 kalteberatasunak (CVSS 5.2) irudiaren sinadura-egiaztapena saihesteko aukera ematen du, sistemaren osotasuna arriskuan jarriz. Cisco IOS, IOS XE eta IOS XR-en, SNMP azpisisteman hainbat kalteberatasunek (CVE-2025-20169, CVE-2025-20170, CVE-2025-20171, besteak beste), 7.7 CVSS baliora arte, zerbitzuaren ukapena eragin dezakete. Ez dago alternatiba eraginkorrik, eta Cisco-k eskuragarri dauden segurtasun-eguneratzeak berehala aplikatzea gomendatzen du.

Kaltetutako baliabideak

  • Cisco IOS Software
  • Cisco IOS XE Software
  • Cisco IOS XR Software
  • Cisco NX-OS Software
  • Cisco MDS 9000 Series Multilayer Switches
  • Cisco Nexus 3000 Series Switches
  • Cisco Nexus 7000 Series Switches
  • Cisco Nexus 9000 Series Switches
  • Cisco UCS 6400 Series Fabric Interconnects
  • Cisco UCS 6500 Series Fabric Interconnects

 

Analisi teknikoa

  • CVE-2025-20124: Cisco ISE-ren API batean kalteberatasun batek urruneko eta autentifikatutako erasotzaile bati komando arbitrarioak root erabiltzaile gisa exekutatzeko aukera eman diezaioke eragindako gailu batean. Kalteberatasun hau erabiltzaileak emandako Java byte-fluxuen deserializazio seguru ezari zor zaio. Erasotzaile batek ahultasun hau ustia lezake Java objektu serializatu faltsu bat API kaltetura bidaliz. Ustiapen arrakastatsu batek erasotzaileari gailuan komando arbitrarioak exekutatzeko eta pribilegioak igotzeko aukera emango lioke.
    Oharra: Kalteberatasun hau arrakastaz ustiatzeko, erasotzaileak administratzailearen irakurketa-soilako kredentzial baliozkoak izan behar ditu. Nodo bakarreko hedapenean, gailu berriek ezin izango dute autentifikatu birkargatze denboran zehar.
  • CWE-502
  • CVSS: 9.9
  • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:H/A:H
  • Ustiapena: Ez da detektatu
  • CVE-2025-20125: Cisco ISE-ren API batean kalteberatasun batek urruneko eta autentifikatutako erasotzaile bati informazio konfidentziala eskuratzeko, nodoaren konfigurazioak aldatzeko eta nodoa berrabiarazteko aukera eman diezaioke. Kalteberatasun hau API espezifiko baten baimen faltari eta erabiltzaileak emandako datuen balidazio desegokiari zor zaio. Erasotzaile batek ustiatu lezake HTTP eskaera manipulatua bidaliz API espezifiko batera. Ustiapen arrakastatsu batek sistemaren konfigurazioa aldatzea eta gailua berrabiaraztea ahalbidetuko lioke erasotzaileari.
    Oharra: Kalteberatasun hau arrakastaz ustiatzeko, erasotzaileak administratzailearen irakurketa-soilako kredentzial baliozkoak izan behar ditu. Nodo bakarreko hedapenean, gailu berriek ezin izango dute autentifikatu birkargatze denboran zehar.
  • CWE-285
  • CVSS: 9.1
  • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:H
  • Ustiapena: Ez da detektatu
  • CVE-2025-20170: Cisco IOS eta Cisco IOS XE softwarearen SNMP azpisisteman kalteberatasun batek urruneko eta autentifikatutako erasotzaile bati DoS (Zerbitzuaren Ukapena) baldintza eragiteko aukera eman diezaioke gailu batean. Kalteberatasun hau SNMP eskaerak prozesatzean erroreen kudeaketa desegokiari zor zaio. Erasotzaile batek ustiatu lezake SNMP eskaera manipulatua bidaliz eragindako gailu batera. Ustiapen arrakastatsu batek gailua ustekabean birkargatzea eragin dezake, DoS baldintza sortuz. Kalteberatasun honek SNMP 1, 2c eta 3 bertsioei eragiten die. SNMP v2c edo bertsio zaharragoen bidez ustiatzeko, erasotzaileak eragindako sistemarako irakurketa edo irakurketa-idazketa SNMP komunitate-katea baliozko bat ezagutu behar du. SNMP v3 bidez ustiatzeko, erasotzaileak SNMP erabiltzaile-kredentzial baliozkoak izan behar ditu eragindako sisteman.
  • CWE-805
  • CVSS: 7.7
  • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
  • Ustiapena: Ez da detektatu
  • CVE-2025-20172: Cisco IOS Software, Cisco IOS XE Software eta Cisco IOS XR Software-ren SNMP azpisisteman aurkitutako kalteberatasun batek urruneko erasotzaile autentifikatu bati DoS egoera bat eragin diezaioke kaltetutako gailu batean. Kalteberatasun hau SNMP eskaerak aztertzean erroreak gaizki kudeatzearen ondorioz gertatzen da. Erasotzaile batek kalteberatasun hau ustiatu dezake SNMP eskaera manipulatu bat bidaliz kaltetutako gailu bati. Cisco IOS eta IOS XE Software-rako, ustiapen arrakastatsu batek erasotzaileari gailua ustekabean berrabiaraztea ahalbidetu diezaioke, DoS egoera bat sortuz. Cisco IOS XR Software-rako, ustiapen arrakastatsu batek SNMP prozesua berrabiaraztea ahalbidetu dezake, eta horrek kaltetutako gailu batetik SNMP erantzun eten bat eragin dezake. Cisco IOS XR Software exekutatzen duten gailuek ez dute berrabiaraziko. Kalteberatasun honek SNMP 1, 2c eta 3 bertsioei eragiten die. Kalteberatasun hau SNMP v2c edo bertsio zaharrago baten bidez ustiatzeko, erasotzaileak SNMP komunitate-kate baliozko bat jakin behar du irakurketa eta idazketa baimenekin edo soilik irakurketa baimenekin sistemarako. SNMP v3 bidez ustiatzeko, erasotzaileak SNMP erabiltzaile-kredentzial baliodunak izan behar ditu sistemarako.
  • CWE -
  • CVSS: 7.7
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
  • Ustiapena: Detektatu gabe
  • CVE-2025-20175: Cisco IOS eta Cisco IOS XE softwarearen SNMP azpisisteman aurkitutako kalteberatasun batek urruneko erasotzaile autentifikatu bati DoS egoera bat eragin diezaioke kaltetutako gailu batean. Kalteberatasun hau SNMP eskaerak aztertzean erroreak gaizki kudeatzearen ondorioz gertatzen da. Erasotzaile batek kalteberatasun hau ustiatu dezake SNMP eskaera manipulatu bat bidaliz kaltetutako gailu bati. Ustiapen arrakastatsu batek erasotzaileari gailua ustekabean berrabiaraztea ahalbidetu diezaioke, DoS egoera bat sortuz. Kalteberatasun honek SNMP 1, 2c eta 3 bertsioei eragiten die. SNMP v2c edo bertsio zaharrago baten bidez ustiatzeko, erasotzaileak SNMP komunitate-kate baliozko bat jakin behar du irakurketa eta idazketa baimenekin edo soilik irakurketa baimenekin sistemarako. SNMP v3 bidez ustiatzeko, erasotzaileak SNMP erabiltzaile-kredentzial baliodunak izan behar ditu sistemarako.
  • CWE-805
  • CVSS: 7.7
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
  • Ustiapena: Detektatu gabe
  • CVE-2025-20171: Cisco IOS Software eta Cisco IOS XE Software-ren SNMP azpisisteman aurkitutako kalteberatasun batek urruneko erasotzaile autentifikatu bati DoS egoera bat eragin diezaioke kaltetutako gailu batean. Kalteberatasun hau SNMP eskaerak aztertzean erroreak gaizki kudeatzearen ondorioz gertatzen da. Erasotzaile batek kalteberatasun hau ustiatu dezake SNMP eskaera manipulatu bat bidaliz kaltetutako gailu bati. Ustiapen arrakastatsu batek erasotzaileari gailua ustekabean berrabiaraztea ahalbidetu diezaioke, DoS egoera bat sortuz. Kalteberatasun honek SNMP 1, 2c eta 3 bertsioei eragiten die. SNMP v2c edo bertsio zaharrago baten bidez ustiatzeko, erasotzaileak SNMP komunitate-kate baliozko bat jakin behar du irakurketa eta idazketa baimenekin edo soilik irakurketa baimenekin sistemarako. SNMP v3 bidez ustiatzeko, erasotzaileak SNMP erabiltzaile-kredentzial baliodunak izan behar ditu sistemarako.
  • CWE -
  • CVSS: 7.7
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
  • Ustiapena: Detektatu gabe
  • CVE-2025-20176: Cisco IOS Software eta Cisco IOS XE Software-ren SNMP azpisisteman aurkitutako kalteberatasunak urruneko erasotzaile autentifikatu bati DoS egoera bat eragin diezaioke kaltetutako gailu batean. Kalteberatasun hau SNMP eskaerak aztertzean erroreak gaizki kudeatzearen ondorioz gertatzen da. Erasotzaile batek kalteberatasun hau ustiatu dezake SNMP eskaera manipulatu bat bidaliz kaltetutako gailu bati. Ustiapen arrakastatsu batek erasotzaileari gailua ustekabean berrabiaraztea ahalbidetu diezaioke, DoS egoera bat sortuz. Kalteberatasun honek SNMP 1, 2c eta 3 bertsioei eragiten die. SNMP v2c edo bertsio zaharrago baten bidez ustiatzeko, erasotzaileak SNMP komunitate-kate baliozko bat jakin behar du irakurketa eta idazketa baimenekin edo soilik irakurketa baimenekin sistemarako. SNMP v3 bidez ustiatzeko, erasotzaileak SNMP erabiltzaile-kredentzial baliodunak izan behar ditu sistemarako.
  • CWE -
  • CVSS: 7.7
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
  • Ustiapena: Detektatu gabe
  • CVE-2025-20174: Cisco IOS Software eta Cisco IOS XE Software-ren SNMP azpisisteman aurkitutako kalteberatasunak urruneko erasotzaile autentifikatu bati DoS egoera bat eragin diezaioke kaltetutako gailu batean. Kalteberatasun hau SNMP eskaerak aztertzean erroreak gaizki kudeatzearen ondorioz gertatzen da. Erasotzaile batek kalteberatasun hau ustiatu dezake SNMP eskaera manipulatu bat bidaliz kaltetutako gailu bati. Ustiapen arrakastatsu batek erasotzaileari gailua ustekabean berrabiaraztea ahalbidetu diezaioke, DoS egoera bat sortuz. Kalteberatasun honek SNMP 1, 2c eta 3 bertsioei eragiten die. SNMP v2c edo bertsio zaharrago baten bidez ustiatzeko, erasotzaileak SNMP komunitate-kate baliozko bat jakin behar du irakurketa eta idazketa baimenekin edo soilik irakurketa baimenekin sistemarako. SNMP v3 bidez ustiatzeko, erasotzaileak SNMP erabiltzaile-kredentzial baliodunak izan behar ditu sistemarako.
  • CWE -
  • CVSS: 7.7
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
  • Ustiapena: Detektatu gabe
  • CVE-2025-20173: Cisco IOS Software eta Cisco IOS XE Software-ren SNMP azpisisteman aurkitutako kalteberatasunak urruneko erasotzaile autentifikatu bati DoS egoera bat eragin diezaioke kaltetutako gailu batean. Kalteberatasun hau SNMP eskaerak aztertzean erroreak gaizki kudeatzearen ondorioz gertatzen da. Erasotzaile batek kalteberatasun hau ustiatu dezake SNMP eskaera manipulatu bat bidaliz kaltetutako gailu bati. Ustiapen arrakastatsu batek erasotzaileari gailua ustekabean berrabiaraztea ahalbidetu diezaioke, DoS egoera bat sortuz. Kalteberatasun honek SNMP 1, 2c eta 3 bertsioei eragiten die. SNMP v2c edo bertsio zaharrago baten bidez ustiatzeko, erasotzaileak SNMP komunitate-kate baliozko bat jakin behar du irakurketa eta idazketa baimenekin edo soilik irakurketa baimenekin sistemarako. SNMP v3 bidez ustiatzeko, erasotzaileak SNMP erabiltzaile-kredentzial baliodunak izan behar ditu sistemarako.
  • CWE -
  • CVSS: 7.7
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
  • Ustiapena: Detektatu gabe
  • CVE-2025-20169: Cisco IOS Software eta Cisco IOS XE Software-ren SNMP azpisisteman aurkitutako kalteberatasunak urruneko erasotzaile autentifikatu bati DoS egoera bat eragin diezaioke kaltetutako gailu batean. Kalteberatasun hau SNMP eskaerak aztertzean erroreak gaizki kudeatzearen ondorioz gertatzen da. Erasotzaile batek kalteberatasun hau ustiatu dezake SNMP eskaera manipulatu bat bidaliz kaltetutako gailu bati. Ustiapen arrakastatsu batek erasotzaileari gailua ustekabean berrabiaraztea ahalbidetu diezaioke, DoS egoera bat sortuz. Kalteberatasun honek SNMP 1, 2c eta 3 bertsioei eragiten die. SNMP v2c edo bertsio zaharrago baten bidez ustiatzeko, erasotzaileak SNMP komunitate-kate baliozko bat jakin behar du irakurketa eta idazketa baimenekin edo soilik irakurketa baimenekin sistemarako. SNMP v3 bidez ustiatzeko, erasotzaileak SNMP erabiltzaile-kredentzial baliodunak izan behar ditu sistemarako.
  • CWE-805
  • CVSS: 7.7
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
  • Ustiapena: Detektatu gabe

Mitigazioa / Konponbidea

Cisco-k gomendatzen du kaltetutako produktuen softwarea bertsio zuzendura eguneratzea kalteberatasun kritiko eta altuak arintzeko. Ez dago alternatiba irtenbiderik eskuragarri. Gomendatutako eguneraketak honako hauek dira:

  • Cisco Identity Services Engine (ISE) eta ISE-PIC: Cisco ISE 3.1P10, 3.2P7, 3.3P4 bertsioetara eguneratzea edo 3.0 bertsiotik bertsio zuzendura migratzea.
  • Cisco NX-OS Softwarea: Irudiaren sinadura egiaztatzeko zuzenketa barne hartzen duten bertsioetara eguneratzea gomendatzen da.
  • Cisco IOS, IOS XE eta IOS XR Softwarea: SNMP azpisistemako kalteberatasunak konpontzen dituzten eguneraketak aplikatzea.

Software eguneratzeari buruzko informazio gehiago eskuratzeko, kontsultatu Cisco-ren laguntza webguneko eguneratze gida: Cisco Security Advisories.

Erreferentzia osagarriak