Cisco ha emitido un aviso de seguridad de alta severidad alerta a los clientes sobre una vulnerabilidad crítica en la característica intermedia del sistema a intermedio (IS-IS) del software NX-OS para los interruptores de la serie Cisco Nexus 3000 y 9000.
Seguido como CVE-2025-20241 con una puntuación base de CVSS de 7.4, el defecto podría permitir que un atacante no autenticado, 2-adyacente, envíe un paquete IS-IS malformado que reinicia el proceso IS-IS, potencialmente recargando el dispositivo y causando una condición de denegación de servicio (DOS).
Control de llave
1. Cisco Nexus 3000/9000 IS-IS Flaw permite DOS adyacentes.
2 sin solución; Habilitar la autenticación del área IS-IS.
3. Aplique la actualización gratuita de NX-OS de Cisco.
Cisco Nexus 3000 y 9000 vulnerabilidades
La vulnerabilidad proviene de la validación de entrada insuficiente al analizar los paquetes de ingreso IS-IS. Un atacante debe estar en el mismo dominio de transmisión que el interruptor objetivo y puede explotar el defecto transmitiendo un paquete IS-IS L1 o L2 especialmente elaborado.
Al recibir, el demonio NX-OS IS-IS puede bloquearse y posteriormente recargar todo el interruptor, interrumpiendo el enrutamiento de la red y el reenvío del tráfico. Esta condición afecta:
Interruptores de la serie Cisco Nexus 3000 Cisco Nexus 9000 Interruptores en modo NX-OS independiente
Solo los dispositivos con IS-IS habilitados en al menos una interfaz son vulnerables. Productos como Nexus 9000 en modo ACI, FirePower 1000/2100/4100/9300, MDS 9000 y UCS Fabric Interconnects no se confirman vulnerables.
El asesoramiento señala que si se configura la autenticación IS-IS, el atacante debe suministrar claves válidas para explotar el problema.
Para verificar el estado de IS-IS, los administradores pueden ejecutar el comando CLI:
Presencia de característica ISIS, el nombre del enrutador ISIS y al menos una entrada del nombre del enrutador IP ISIS confirma la exposición. Para ver sus compañeros en vivo, use:
Factores de riesgo Productos afectados por la cola de la serie Nexus 3000 Switchescisco Nexus 9000 Switches (independientes NX-OS) Impactis-IS Proceso Reiniciar la recarga del dispositivo (DOS) Explote el prerrequisito Rlayer 2 adyacencia; IS-IS habilitado en InterFACECVSS 3.1 Score7.4 (alto)
No existen soluciones temporales; Sin embargo, habilitar la autenticación del área para IS-IS puede mitigar el riesgo al exigir a los atacantes que se autenticen antes de enviar paquetes maliciosos.
Cisco fuertemente recomendado que los clientes evalúan a fondo esta mitigación para garantizar la compatibilidad con sus requisitos de red.
Cisco ha lanzado actualizaciones de software gratuitas para abordar la vulnerabilidad. Los clientes con contratos de servicio válidos deben descargar e instalar las versiones fijas desde el portal de soporte y descargas de Cisco.
Para aquellos sin contratos de servicio, contactar al Cisco TAC con la URL de asesoramiento y el número de serie del producto permitirá el derecho a los parches necesarios.
¿Cansado de llenar formularios para cuestionarios de seguridad y cumplimiento? ¡Automúalos en minutos con 1UP! Comience su prueba gratuita ahora!
