In Cisco‑Umgebungen wird aktuell eine aktiv ausgenutzte Zero‑Day‑Schwachstelle verfolgt: CVE‑2025‑20352 betrifft alle unterstützten Releases von IOS und IOS XE. Ein Stack‑Overflow im SNMP‑Handler kann sowohl zu einem Denial of Service (DoS) als auch zur Remote Code Execution (RCE) mit Root‑Rechten auf Netzwerkgeräten führen. Laut Cisco PSIRT wurden bereits reale Angriffe beobachtet.
Technischer Hintergrund: Stack-Overflow im SNMP-Handler von IOS/IOS XE
Ursache ist ein Fehler in der Verarbeitung speziell präparierter SNMP‑Pakete über IPv4 oder IPv6. Der Parser stürzt bei bestimmten Eingaben ab und überschreibt Speicherbereiche (Stack‑Overflow). Das ermöglicht Angreifern abhängig von ihren Rechten wahlweise die Störung des Betriebs (DoS) oder die Ausführung von Code mit root‑Privilegien.
Cisco bestätigt aktive Ausnutzung. In einem Teil der Vorfälle wurden zuvor lokale Administrator‑Zugänge kompromittiert, was die Angriffskette erleichtert. Das Unternehmen rät zur unverzüglichen Installation der bereitgestellten Patches.
Angriffsmodell und notwendige Voraussetzungen
Für RCE benötigen Angreifer eine gültige read‑only community string (SNMP v1/v2c) und erhöhte Privilegien auf dem Gerät; anschließend ist Codeausführung auf Root‑Ebene möglich. Für DoS genügt bereits eine read‑only community string oder gültige SNMPv3‑Zugangsdaten.
Die Risikolage wird durch die breite Exposition verschärft: Der Internet‑Suchdienst Shodan listet über 2 Millionen Systeme mit offenem SNMP. Selbst read‑only‑Konfigurationen bieten Angriffsfläche, weil Parser‑Fehler schon beim Lesen der Pakete ausgelöst werden können.
Auswirkungen auf Betrieb und Integrität von Netzwerken
Betroffene Router und Switches unter IOS/IOS XE sind kritische Schaltstellen. Root‑RCE erlaubt die Übernahme der Verwaltungsebene, Manipulation von Konfigurationen, das Abgreifen von Zugangsdaten sowie laterale Bewegungen in Segmenten mit hoher Vertrauensstellung. Neben unmittelbaren Ausfällen drohen Traffic‑Manipulation, Service‑Degradierung, SLA‑Verstöße und Compliance‑Probleme.
In Szenarien mit SNMPv3 kann die Kompromittierung legitimer Anmeldedaten die Privilegieneskalation beschleunigen, insbesondere wenn Rollen zu großzügig zugewiesen sind oder Schlüssel selten rotiert werden.
Sofortmaßnahmen und Härtungsleitlinien
Patchen hat oberste Priorität. Installieren Sie die von Cisco bereitgestellten Fixes ohne Verzögerung. Wenn ein sofortiges Update nicht möglich ist, reduzieren folgende Schritte die Angriffsfläche:
– SNMP strikt einschränken: Zugriff nur aus vertrauenswürdigen Netzen via ACLs, Management‑VRF/OOB, VPN.
– Exposition minimieren: SNMP auf externen Interfaces deaktivieren oder den Dienst komplett abschalten, wenn er nicht benötigt wird.
– SNMPv3 bevorzugen: Starke Authentifizierung und Verschlüsselung (AuthPriv), regelmäßige Schlüsselrotation, Prinzip der geringsten Rechte.
– Überwachung aktivieren: Geräte‑Logs und SNMP‑Anomalien fortlaufend prüfen; Alarmierung bei Fehlversuchen und ungewöhnlichen Paketmustern.
– Community Strings härten: Standards entfernen, Werte inventarisieren und dokumentiert rotieren.
Weitere Cisco-Schwachstellen und beobachtete Aktivitäten
IOS XE: Reflected XSS (CVE-2025-20240)
Eine reflektierte XSS in Cisco IOS XE kann es nicht authentifizierten Angreifern ermöglichen, Cookies von verwundbaren Geräten zu stehlen. Proof‑of‑Concept‑Exploits sind laut Cisco bereits öffentlich verfügbar, was das Risiko von Breitenangriffen erhöht.
DoS-Schwachstelle (CVE-2025-20149)
Ein authentifizierter lokaler Angreifer kann betroffene Geräte gezielt neu starten und so einen Denial of Service auslösen. Systeme mit unzureichender Zugriffstrennung auf der Konsole sind besonders gefährdet.
ASA/FTD VPN-Webserver: Exploit-Versuche (CVE-2025-20333, CVE-2025-20362)
CVE‑2025‑20333 (CVSS 9.9): Fehlerhafte Eingabeprüfung in HTTP(S)‑Requests ermöglicht es authentifizierten VPN‑Nutzern, durch speziell gestaltete Anfragen Code mit Root‑Rechten auszuführen.
CVE‑2025‑20362 (CVSS 6.5): Unzureichende Validierung kann nicht authentifizierten Angreifern Zugriff auf geschützte Bereiche des Web‑Interfaces gewähren. Cisco berichtet von Exploit‑Versuchen; ein Chaining beider Lücken könnte Auth‑Bypass und anschließende RCE begünstigen.
Organisationen sollten Update‑Zyklen beschleunigen, Administrationspfade segmentieren und die externe Sichtbarkeit von SNMP und Management‑HTTP(S) minimieren. Eine aktuelle Geräteinventur, enges Privilegien‑Management und Telemetrie auf Login‑ und Protokoll‑Anomalien reduzieren die Erfolgswahrscheinlichkeit selbst bei vorhandenen Public PoCs. Prüfen Sie regelmäßig mit externen Scans die Exposition von SNMP und sperren Sie unnötige Dienste an der Perimeter‑Firewall.