Cisco Nexus 3000/9000 Switch の脆弱性 CVE-2025-20161 が FIX:OS コマンド実行の可能性

Cisco Nexus Vulnerability Allows Attackers to Inject Malicious Commands

2025/02/27 gbhackers — Cisco Systems が発行したのは、スタンドアロン NX-OS モードで動作する Nexus 3000/9000 Series Switches に影響を及ぼす、新たに公開されたコマンド・インジェクション脆弱性に関する、重要なセキュリティ・アドバイザリである。

この脆弱性 CVE-2025-20161 (CVSSv3:5.1) の悪用に成功した、管理者権限を持つ認証済みの攻撃者は、ソフトウェア・アップグレードの手順の中で、root レベルの権限で任意の OS コマンドを実行できるという。


Cisco のセキュリティ・チームが発見した、この脆弱性は、特定のソフトウェア・イメージ・コンポーネントにおける、不十分な検証メカニズムに起因する。それを悪用する攻撃者は、ファームウェア・パッケージを改竄し、不正なコマンドを埋め込める。

技術的な詳細と被害の甚大さ

この脆弱性は、Cisco NX-OS のイメージ検証サブシステムに存在し、その影響の範囲は、Nexus 3000 Switch のバージョン 15.2 (9) E1 未満と、Nexus 9000 Switch のバージョン 10.4 (3a) F 未満になる。

この欠陥を悪用する攻撃者は、その前提として、有効な管理者認証情報と、標的スイッチの管理インターフェースへの物理的/論理的アクセスを取得する必要がある。

メタデータ・フィールドまたはチェックサム・ブロック内に潜ませる隠しコマンド・シーケンスを取り込んだ、特別に細工されたソフトウェア・イメージを配布することで、攻撃者は署名検証チェックを回避し、ファームウェアのインストールプロセス中に悪意のペイロード実行をトリガーできる。

前提条件として管理アクセスが必要になるため、攻撃の複雑さは高いが、悪用が成功すると、Linux ベースの基盤の完全な制御が奪われる。その結果として、接続されたインフラ全体において、ネットワーク偵察/トラフィック傍受/横方向への移動/永続的なバックドア展開などが容易になると予想される。

Cisco のアドバイザリでは、「この欠陥を悪用する攻撃者は、標準的な侵入検知メカニズムをトリガーすることなく、ルーティング・テーブルの操作/暗号化されたトラフィック・フローの傍受/ネットワーク・セグメンテーション・ポリシーの妨害などを達成する」と強調されている。

影響を受ける製品と緩和戦略

影響を受けることが確認されているデバイスは、以下のとおりである:

  • Nexus 3000 Series Switches (スタンドアロン NX-OS を実行する全モデル)
  • Nexus 9000 Series Switches (スタンドアロン NX-OS デプロイのみ)

この脆弱性から、Cisco が明示的に除外するのは、Application-Centric Infrastructure (ACI) モードで動作する、Nexus 9000 Switches/MDS 9000 Storage Switches/Firepower アプライアンスの全ラインナップである。

また、Nexus 5500/5600/6000/7000 ハードウェアまたは、UCS ファブリック・インターコネクトを使用している組織は影響を受けない。

実行可能な回避策が存在しないため、Cisco が強く推奨するのは、パッチ適用されたファームウェア・バージョンの、速やかなインストールである。

  • Nexus 3000 Series:NX-OS 15. 2(9) E1 以降へのアップグレード
  • Nexus 9000 Series:NX-OS 10.4 (3a )F 以降へのアップグレード

ネットワーク管理者にとって必要なことは、Cisco Software Checker ポータルを介してデバイスの脆弱性ステータスを確認し、暗号化署名されたソフトウェア・バンドルをダウンロードすることである。

さらに同社は、アップデートを展開する前に、マルチパーティ SHA-256 ハッシュ検証を含む厳格なファームウェア出所管理の実施と、RBAC (role-based access controls) によるスイッチ管理インターフェイスへのアクセス制限を、企業に推奨している。

Cisco の Product Security Incident Response Team (PSIRT) は、積極的なエクスプロイト・インシデントは確認されていないとしているが、パッチ展開サイクルの加速を強く求めている。

速やかなアップグレードが不可能な組織の場合には、ネットワークのセグメンテーションと、予期しないコンフィグ変更や不正な CLI アクティビティへの継続的な監視が、重要な補償制御となる。

この脆弱性の CVSS 値は 5.1 (深刻度 Medium) と評価されていますが、悪用されると、ネットワーク全体に影響をおよぼす可能性があります。近ごろ、新旧問わず Cisco デバイスの脆弱性が悪用されるケースも相次いでいます。ご利用のチームは、アップデートを忘れないよう、お気をつけください。よろしければ、以下の関連記事も、Cisco で検索と併せてご参照下さい。

2025/02/25:Cisco の脆弱性 CVE-2023-20118:PolarEdge バックドアが悪用2025/02/20:Salt Typhoon が Cisco の脆弱性 CVE-2018-0171 を悪用
2025/02/14:Salt Typhoon の標的は Cisco の CVE-2023-20198/20273