Cisco выпустила срочное предупреждение о высокой степени опасности, связанное с критической уязвимостью в коммутаторах серий Nexus 3000 и 9000. Проблема безопасности, зарегистрированная под идентификатором CVE-2025-20241, позволяет злоумышленникам инициировать атаки типа «отказ в обслуживании» (Denial of Service, DoS) путём отправки специально сформированных сетевых пакетов. Уязвимость получила оценку 7.4 по шкале CVSS v3.1, что соответствует высокому уровню угрозы.
Детали уязвимости
Уязвимость затрагивает функцию Intermediate System-to-Intermediate System (IS-IS) в программном обеспечении Cisco NX-OS, которое используется на коммутаторах Nexus 3000 Series и Nexus 9000 Series в автономном режиме NX-OS. Причиной уязвимости является недостаточная проверка входящих параметров при обработке IS-IS пакетов. Это позволяет несанкционированному злоумышленнику, находящемуся в том же сегменте сети (смежном на уровне L2), отправить специально созданные IS-IS пакеты на уязвимые устройства. В результате процесс IS-IS может аварийно завершиться с последующей перезагрузкой всего коммутатора.
Протокол IS-IS широко применяется в корпоративных сетях для организации динамической маршрутизации. Для успешной эксплуатации уязвимости атакующий должен находиться в непосредственной близости от целевого устройства, что делает её особенно опасной в случае внутренних угроз или если злоумышленник уже получил первоначальный доступ к сети. Если в сети активирована аутентификация IS-IS, для проведения атаки потребуются действительные ключи аутентификации, что добавляет дополнительный уровень защиты.
Cisco подтвердила, что уязвимость может быть использована только смежным узлом IS-IS, находящимся в состоянии UP. Несмотря на это, простота механизма атаки и возможность полного выхода устройства из строя делают данную уязвимость серьёзной угрозой для непрерывности бизнес-процессов.
Администраторам сетей рекомендуется проверить, активирован ли протокол IS-IS на их устройствах, с помощью команды show running-config | include isis. На уязвимость указывает наличие параметров feature isis, router isis name и как минимум одного экземпляра ip router isis name. Для идентификации потенциально опасных смежных узлов следует использовать команду show isis adjacency.
Компания Cisco выпустила обновления программного обеспечения, которые полностью устраняют проблему, и настоятельно рекомендует незамедлительно установить патчи в качестве основного метода защиты. На текущий момент не существует обходных решений, которые могли бы полностью нейтрализовать угрозу. В качестве дополнительной меры предосторожности рекомендуется внедрить аутентификацию на уровне области IS-IS.
Раскрытие уязвимости стало частью августовского пакета рекомендаций по безопасности Cisco за 2025 год, что подчёркивает приверженность компании скоординированному раскрытию информации об уязвимостях. Высокий балл CVSS и потенциально серьёзные последствия эксплуатации делают эту проблему приоритетной для организаций, использующих уязвимое оборудование. Руководителям ИБ-служб и сетевых подразделений следует безотлагательно оценить риски и разработать планы по устранению уязвимости до того, как ею воспользуются злоумышленники.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-20241
- https://nvd.nist.gov/vuln/detail/CVE-2025-20241
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-n39k-isis-dos-JhJA8Rfx
