0‑day в Cisco IOS/IOS XE (CVE-2025-20352): удаленный DoS и потенциальный RCE через SNMP

CyberSecureFox 🦊

В экосистеме Cisco выявлена активно эксплуатируемая уязвимость нулевого дня CVE-2025-20352, затрагивающая все поддерживаемые релизы IOS и IOS XE. Дефект в обработке SNMP ведет к переполнению стека и может использоваться для удаленного отказа в обслуживании (DoS) или выполнения кода (RCE) на сетевых устройствах.

Суть проблемы: переполнение стека в обработчике SNMP

По данным Cisco PSIRT, проблема кроется в компоненте IOS/IOS XE, отвечающем за SNMP. Для эксплуатации достаточно отправить специально сформированные SNMP‑пакеты по IPv4 или IPv6. Злоумышленники с низкими привилегиями способны вызвать DoS, а при наличии повышенных прав — добиться исполнения произвольного кода с привилегиями root.

Cisco подтверждает, что уязвимость уже используется в реальных атаках, причем часть инцидентов связана с компрометацией учетных данных локального администратора. Компания настоятельно рекомендует немедленно обновиться до исправленных версий.

Модель атаки и условия эксплуатации

Для RCE атакующему требуется действующая read-only community string (SNMP v1/v2c) и повышенные привилегии на устройстве; после этого возможен запуск кода на уровне root. Для атаки типа DoS достаточно read-only community string или действительных учетных данных SNMPv3.

Оставлять SNMP-доступ из интернета — рискованная практика. По оценке исследователей, поисковик Shodan обнаруживает более 2 млн устройств с открытым SNMP во всем мире, что существенно увеличивает поверхность атаки даже при использовании режимов read‑only.

Риски для инфраструктуры и бизнес-процессов

Компрометация маршрутизаторов и коммутаторов на базе IOS/IOS XE создает угрозу не только доступности, но и целостности сетевого трафика. Потенциальный RCE с правами root открывает путь к перехвату управления, изменению конфигураций, боковому перемещению и саботажу сетевых сервисов. В сценариях с SNMPv3 утечка учетных данных способна ускорить эскалацию атак.

Рекомендации по снижению рисков

Патч как приоритет №1. Установите обновления Cisco как можно скорее. Для тех, кто не может обновиться немедленно:

— Ограничьте доступ к SNMP только доверенными источниками (ACL, контроль интерфейсов управления, VPN).
— Отключите SNMP на внешних интерфейсах или полностью, если служба не используется.
— Отдавайте предпочтение SNMPv3 с сильной аутентификацией, ротацией паролей и минимальными привилегиями.
— Мониторьте состояние устройств и аномалии через встроенные команды snmp и журналирование.
— Пересмотрите и зафиксируйте значения community strings, исключив значения по умолчанию.

Дополнительные исправления Cisco: что еще закрыто

IOS XE: отраженная XSS (CVE-2025-20240)

Отраженная XSS в Cisco IOS XE может позволить неаутентифицированному удаленному атакующему похищать cookie с уязвимых устройств. По данным Cisco, эксплойты proof‑of‑concept уже доступны.

DoS уязвимость (CVE-2025-20149)

Аутентифицированный локальный атакующий способен принудительно перезагружать затронутые устройства, вызывая отказ в обслуживании.

ASA/FTD VPN веб‑сервер: попытки эксплуатации (CVE-2025-20333 и CVE-2025-20362)

CVE-2025-20333 (CVSS 9.9) — ошибка проверки входных данных в HTTP(S)‑запросах, позволяющая аутентифицированному VPN‑пользователю выполнить произвольный код с правами root путем отправки специально сформированных запросов.

CVE-2025-20362 (CVSS 6.5) — несоответствующая валидация входных данных, дающая неаутентифицированному удаленному злоумышленнику доступ к защищенным разделам веб‑интерфейса.

В Cisco сообщают о «попытках эксплуатации» обеих уязвимостей. Предположительно уязвимости могут комбинировать для обхода аутентификации и последующего RCE на уязвимых устройствах.

Организациям рекомендуется ускорить цикл обновлений, сегментировать доступ к административным интерфейсам и минимизировать экспозицию SNMP. Быстрое внедрение патчей, жесткая сетево‑политическая изоляция и контроль привилегий снижают вероятность успешной эксплуатации даже при наличии публичных PoC. Поддерживайте инвентаризацию устройств Cisco, внедрите мониторинг попыток входа и аномалий SNMP/HTTP(S), а также регулярно пересматривайте правила доступа к управлению сетью.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.