Cisco ha confirmado la explotación activa de CVE-2025-20352, una vulnerabilidad de día cero que afecta a todas las versiones soportadas de IOS y IOS XE. El fallo reside en el procesamiento de SNMP y puede provocar un desbordamiento de pila, habilitando desde denegación de servicio (DoS) hasta ejecución remota de código (RCE) en equipos de red. El equipo PSIRT de Cisco urge a aplicar las actualizaciones disponibles de forma prioritaria.
CVE-2025-20352: desbordamiento de pila en el manejador SNMP
El vector de ataque se activa al recibir paquetes SNMP especialmente manipulados sobre IPv4 o IPv6. Con credenciales mínimas, un atacante puede forzar un DoS; con privilegios elevados en el dispositivo y una read-only community string válida (SNMP v1/v2c), el riesgo escala a RCE con privilegios root. En entornos SNMPv3, credenciales válidas también permiten alcanzar el impacto de DoS.
Cisco señala que parte de los incidentes observados se asocia a la comprometida de credenciales de administradores locales, lo que acelera la transición de un DoS a un escenario de ejecución de código. Esta combinación refuerza la necesidad de endurecer el plano de gestión y rotar credenciales.
Exposición de SNMP: superficie de ataque masiva
Mantener SNMP accesible desde Internet es una práctica de alto riesgo. De acuerdo con recuentos de motores de búsqueda de dispositivos como Shodan, existen más de 2 millones de equipos con SNMP expuesto, lo que amplía significativamente la superficie de ataque, incluso cuando el servicio está configurado en modo read-only. La mera disponibilidad del servicio incrementa la probabilidad de exploración y explotación automatizada.
Impacto para la continuidad y la integridad de la red
La explotación en routers y switches con IOS/IOS XE compromete la disponibilidad y, potencialmente, la integridad del tráfico. Un RCE con privilegios de root habilita el control del dispositivo, cambios en la configuración, movimientos laterales y sabotaje de servicios críticos. En despliegues con SNMPv3, la filtración de credenciales favorece la escalada y persistencia del atacante.
Mitigaciones y buenas prácticas inmediatas
Parcheo como prioridad número uno. Aplique sin demora las versiones corregidas publicadas por Cisco. Si no es posible actualizar de inmediato, reduzca el riesgo con las siguientes medidas:
– Restringa el acceso a SNMP únicamente a orígenes de confianza (ACL, segmentación del plano de gestión, túneles VPN).
– Deshabilite SNMP en interfaces expuestas a Internet o, si no es imprescindible, desactívelo por completo.
– Prefiera SNMPv3 con autenticación y cifrado robustos, rotación periódica de secretos y el principio de mínimo privilegio.
– Supervise eventos y anomalías relacionadas con SNMP y registre actividad relevante en syslog para detección temprana.
– Revise y cambie las community strings; elimine valores por defecto y documente los cambios.
Otras vulnerabilidades relevantes en el ciclo de parches de Cisco
IOS XE: XSS reflejado (CVE-2025-20240)
Una vulnerabilidad de XSS reflejado en Cisco IOS XE podría permitir a un atacante remoto no autenticado robar cookies desde dispositivos vulnerables. Existen proof-of-concept públicos, lo que eleva el riesgo práctico.
DoS local autenticado (CVE-2025-20149)
Un atacante con acceso local autenticado puede provocar reinicios forzados en dispositivos afectados, causando denegación de servicio.
ASA/FTD VPN web: intentos de explotación (CVE-2025-20333 y CVE-2025-20362)
CVE-2025-20333 (CVSS 9.9) describe una validación insuficiente de entradas en peticiones HTTP(S) que posibilita RCE con privilegios root para usuarios VPN autenticados mediante solicitudes manipuladas.
CVE-2025-20362 (CVSS 6.5) permite que un atacante remoto no autenticado acceda a secciones protegidas de la interfaz web por una validación deficiente. Cisco reporta intentos de explotación y una posible combinación de fallos para eludir autenticación y lograr RCE.
La combinación de un zero-day explotado activamente y fallos críticos adicionales exige acelerar el ciclo de parches, minimizar la exposición de SNMP y segmentar de forma estricta los interfaces de administración. Mantenga un inventario actualizado de activos Cisco, vigile accesos y anomalías en SNMP/HTTP(S), y refuerce controles de privilegios. Actuar con rapidez reduce de forma significativa la probabilidad de compromiso exitoso incluso cuando existen PoC públicos.
