Vulnerabilidad Alta en Cisco Nexus 3000 y 9000 series

Publicado hace 1 mes 26-02-2025

Cisco publicó nuevos avisos de seguridad el 26 de febrero de 2025. En estos avisos se abordan tres vulnerabilidades: dos de criticidad media y una de criticidad alta. Esta última afecta a switches Cisco de las series 3000 y 9000.
La vulnerabilidad, identificada como CVE-2025-20111, se encuentra en el diagnóstico de monitoreo de los switches mencionados. Si el dispositivo está en modo NX-OS standalone, un atacante no autenticado podría explotarla para provocar un reinicio del equipo, lo que daría lugar a una Denegación de Servicio (DoS).
Esta vulnerabilidad es posible debido a la forma en que ciertos frames de Ethernet son manejados. Un atacante podría diseñar frames de Ethernet específicamente para explotar esta falla. Una vez enviados al sistema, el dispositivo se reiniciaría.
Aunque existen actualizaciones para mitigar el problema en los productos afectados, Cisco también ha proporcionado instrucciones para aplicar workarounds en caso de que no sea posible actualizar.

Workarounds:

Cisco recomienda no aplicar el workaround en versiones de NX-OS que no incluyan una corrección para FN72433, ya que podría causar inestabilidad en el panel de control. De lo contrario, se pueden seguir los siguientes pasos:

Si se desea evitar que el dispositivo se reinicie al recargar la prueba de diagnóstico L2ACLRedirect cuando esta falle repetidamente, se debe aplicar la siguiente configuración:

“nxos# configure

 nxos(config)# event manager applet l2acl_override override __L2ACLRedirect

 nxos(config-applet)# action 1 syslog priority emergencies msg l2aclFailed

Si la prueba falla 10 veces consecutivas, se registrarán los siguientes mensajes en Syslog:

“SWITCH %$ VDC-1 %$ %DIAGCLIENT-2-EEM_ACTION_HM_SHUTDOWN: Test  has been disabled as a part of default EEM action

SWITCH %$ VDC-1 %$ %DIAG_PORT_LB-2-L2ACLREDIRECT_LOOPBACK_TEST_FAIL: Module:1 Test:L2ACLRedirect Loopback failed 10 consecutive times. Faulty module: affected ports:1  Error:Loopback test failed. Packets lost on the SUP in the receive direction

SWITCH %$ VDC-1 %$ %EEM_ACTION-0-EMERG: l2aclFailed”

Para los switches Cisco Nexus 3100 y 3200, una prueba fallida sobrescribirá el motor Loopback. En estos casos, es necesario aplicar un sobreescribimiento del motor de Loopback (RewriteEngineLoopback) con los siguientes comandos:

nxos# configure

 nxos(config)# event manager applet rewrite_override override __RewriteEngineLoopback

 nxos(config-applet)# action 1 syslog priority emergencies msg RewriteEngineFailed

Si la prueba falla 10 veces consecutivas, se registrarán estos mensajes en Syslog:

SWITCH %$ VDC-1 %$ %DIAGCLIENT-2-EEM_ACTION_HM_SHUTDOWN: Test has been disabled as a part of default EEM action

SWITCH %$ VDC-1 %$ %DIAG_PORT_LB-2-L2ACLREDIRECT_LOOPBACK_TEST_FAIL: Module:1 Test:RewriteEngine Loopback failed 10 consecutive times. Faulty module: affected ports:1  Error:Loopback test failed. Packets lost on the SUP in the receive direction

SWITCH %$ VDC-1 %$ %EEM_ACTION-0-EMERG: RewriteEngineFailed

A pesar de que estos workarounds han sido probados y verificados, Cisco recomienda evaluar su factibilidad en cada empresa antes de aplicarlos.

Indicadores de Compromiso:

En caso de que se logre la explotación exitosa de esta vulnerabilidad el diagnóstico de monitoreo de estado L2ACLRedirect y el diagnostico de monitoreo de estado de RewriteEnginew Loopback guardara un registro de la actividad en el archivo de registros o logs después de que las pruebas fallen 10 veces, los dos posibles registros que se guardarían serían los siguientes:

SWITCH %$ VDC-1 %$ %DIAG_PORT_LB-2-L2ACLREDIRECT_LOOPBACK_TEST_
FAIL: Module:1 Test: L2ACLRedirect Loopback failed 10 consecutive times. Faulty module: affected ports:1 Error:Loopback test failed. Packets lost on the SUP in the receive direction

SWITCH %$ VDC-1 %$ %DIAG_PORT_LB-2-REWRITE_ENGINE_LOOPBACK_TEST
_FAIL: Module:1 Test:RewriteEngine Loopback failed 10 consecutive times. Faulty module:  Error: Loopback test failed. Packets lost on the SUP in the receive direction

Al mismo tiempo otro indicador de compromiso es el reinicio de los dispositivos, después de que el archivo de logs registrara cualquiera de los dos comandos anteriormente mencionados.
 

Versiones Afectadas

  • Switches Nexus serie 3100
  • Switches Nexus de la serie 3200
  • Switches Nexus serie 3400
  • Switches Nexus de la serie 3600
  • Switches Nexus de la serie 9200 en modo NX-OS autónomo
  • Switches Nexus de la serie 9300 en modo NX-OS autónomo
  • Switches Nexus de la serie 9400 en modo NX-OS autónomo

Recomendaciones

Si cuenta con algún producto Cisco de los siguientes:

  • Switches Nexus serie 3100
  • Switches Nexus de la serie 3200
  • Switches Nexus serie 3400
  • Switches Nexus de la serie 3600
  • Switches Nexus de la serie 9200 en modo NX-OS autónomo
  • Switches Nexus de la serie 9300 en modo NX-OS autónomo
  • Switches Nexus de la serie 9400 en modo NX-OS autónomo
     
    • Verificar si se es vulnerable dependiendo de la versión con la que se cuente en el siguiente enlace: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-n3kn9k-healthdos-eOqSWK4g#fs
    • Al final del documento se encuentra una sección llamada Cisco NX-OS Software en la cual podemos verificar lo antes mencionado.
      ​​​​​​​
  • Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
  • Auditar herramientas de acceso remoto. (NIST CSF, 2024)
  • Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
  • Limitar estrictamente el uso de los protocolos SMB y RDP.
  • Realizar auditorías de seguridad. (NIST CSF, 2024)
  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
  • Tener filtros de correo electrónico y spam.
  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
  • Realizar copias de seguridad, respaldos o back-ups constantemente.
  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
  • Revisar continuamente los privilegios de los usuarios.
  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
  • Habilitar la autenticación multifactor.

Referencias

Cisco Nexus 3000 and 9000 Series Switches Health Monitoring Diagnostics Denial of Service Vulnerability. (2025, febrero 26). Recuperado el 26 de febrero del 2025 en:https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-n3kn9k-healthdos-eOqSWK4g

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Grupo RedGolf
Publicado hace 20 horas 25-04-2025

El 23 de marzo de 2023, la firma estadounidense de ciberseguridad Recorded Future alertó sobre la continua actividad del grupo de hackers chinos conocido como RedGolf, presuntamente respaldado por el Estado. Según el informe, este grupo mantiene operaciones activas......

Vulnerabilidad Critica en FortiSwitch
Publicado hace 4 días 22-04-2025

Una nueva vulnerabilidad ha sido descubierta por el equipo interno de Fortinet. Esta vulnerabilidad cuenta con un score CVSS de 9.3, siendo clasificada como de carácter crítico. La vulnerabilidad fue ligada al identificador CVE-2024-48887. Esta CVE afecta a diver......

Ransomware NightSpire
Publicado hace 1 semana 16-04-2025

Con la creciente efectividad de los grupos de ransomware día con día, nuevos grupos se forman para aprovechar esta modalidad, la cual resulta muy lucrativa para los actores maliciosos. También se ha visto que se crean variantes de operaciones más grand......

BOLETINES RECIENTES

...
Grupo RedGolf
Publicado hace 20 horas 25-04-2025
Leer más
...
Vulnerabilidad Critica en FortiSwitch
Publicado hace 4 días 22-04-2025
Leer más
...
Ransomware NightSpire
Publicado hace 1 semana 16-04-2025
Leer más