Cisco Nexus: Vulnerabilità critica consente di causare condizione di Denial-of-Service!

Cisco ha rilasciato un avviso di sicurezza che mette in allerta le aziende e gli amministratori di rete: una vulnerabilità nei suoi switch della serie Nexus 3000 e 9000 potrebbe consentire ad attaccanti di scatenare una condizione di Denial-of-Service (DoS), causando il riavvio improvviso dei dispositivi e l’interruzione delle operazioni di rete.

La vulnerabilità

La problematica risiede nel modulo di diagnostica per il monitoraggio dello stato di salute degli switch. Una gestione errata di specifici frame Ethernet consente a un attaccante non autenticato, ma con accesso alla rete locale, di inviare un flusso continuo di frame Ethernet appositamente confezionati per mandare in tilt il dispositivo.

L’esito? Il riavvio forzato dello switch, con tutte le conseguenze del caso: perdita di connettività, interruzione dei servizi e potenziali impatti critici per le infrastrutture aziendali.

Quali modelli sono a rischio?

Gli switch Cisco interessati sono:

• Nexus 3100 Series
• Nexus 3200 Series
• Nexus 3400 Series
• Nexus 3600 Series
• Nexus 9200 Series (in modalità standalone NX-OS)
• Nexus 9300 Series (in modalità standalone NX-OS)
• Nexus 9400 Series (in modalità standalone NX-OS)

Cisco ha confermato che questa vulnerabilità non impatta altri dispositivi come le soluzioni Firepower, la serie MDS e alcuni switch Nexus non elencati.

Come identificare un attacco in corso?

Un exploit riuscito può provocare il fallimento consecutivo dei test diagnostici “L2ACLRedirect health monitoring” o “RewriteEngineLoopback” sui Nexus 3100 e 3200. Segnali di compromissione possono essere rilevati nei log di sistema con messaggi come:

• “L2ACLREDIRECT_LOOPBACK_TEST_FAIL”
• “REWRITE_ENGINE_LOOPBACK_TEST_FAIL”

Questi eventi precedono un riavvio forzato del dispositivo con il codice di errore “Kernel Panic”. Tuttavia, Cisco avverte che tali messaggi possono apparire anche per cause non legate alla vulnerabilità.

Mitigazioni e soluzioni

Cisco ha già rilasciato aggiornamenti software per risolvere la vulnerabilità. I clienti con contratti di supporto possono ottenere le patch attraverso i canali di aggiornamento ufficiali.

Per verificare la propria esposizione, Cisco mette a disposizione:

• Cisco Software Checker, uno strumento per identificare le versioni vulnerabili del software NX-OS.
• Cisco Product Security Incident Response Team (PSIRT), che monitora attivamente le minacce e fornisce indicazioni per la protezione dei dispositivi.

Conclusione

Sebbene al momento non risultino exploit attivi in the wild, questa vulnerabilità rappresenta un rischio concreto per le infrastrutture di rete aziendali. Un attacco DoS su switch core potrebbe avere conseguenze disastrose, bloccando servizi essenziali e compromettendo la business continuity.

Per questo motivo, gli amministratori di rete devono intervenire immediatamente, verificando le versioni dei propri dispositivi e applicando le patch rilasciate da Cisco. La sicurezza delle reti aziendali non è mai una questione da rimandare.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Luca Galuppi

Appassionato di tecnologia da sempre. Lavoro nel campo dell’informatica da oltre 15 anni. Ho particolare esperienza in ambito Firewall e Networking e mi occupo quotidianamente di Network Design e Architetture IT. Attualmente ricopro il ruolo di Senior IT Engineer e PM per un’azienda di Consulenza e Servizi IT.

Aree di competenza: Firewall, Networking, Network Design, Architetture IT, Servizi IT

Visita il sito web dell'autore