В экосистеме Cisco выявлена активно эксплуатируемая уязвимость нулевого дня CVE-2025-20352, затрагивающая все поддерживаемые релизы IOS и IOS XE. Дефект в обработке SNMP ведет к переполнению стека и может использоваться для удаленного отказа в обслуживании (DoS) или выполнения кода (RCE) на сетевых устройствах.
Суть проблемы: переполнение стека в обработчике SNMP
По данным Cisco PSIRT, проблема кроется в компоненте IOS/IOS XE, отвечающем за SNMP. Для эксплуатации достаточно отправить специально сформированные SNMP‑пакеты по IPv4 или IPv6. Злоумышленники с низкими привилегиями способны вызвать DoS, а при наличии повышенных прав — добиться исполнения произвольного кода с привилегиями root.
Cisco подтверждает, что уязвимость уже используется в реальных атаках, причем часть инцидентов связана с компрометацией учетных данных локального администратора. Компания настоятельно рекомендует немедленно обновиться до исправленных версий.
Модель атаки и условия эксплуатации
Для RCE атакующему требуется действующая read-only community string (SNMP v1/v2c) и повышенные привилегии на устройстве; после этого возможен запуск кода на уровне root. Для атаки типа DoS достаточно read-only community string или действительных учетных данных SNMPv3.
Оставлять SNMP-доступ из интернета — рискованная практика. По оценке исследователей, поисковик Shodan обнаруживает более 2 млн устройств с открытым SNMP во всем мире, что существенно увеличивает поверхность атаки даже при использовании режимов read‑only.
Риски для инфраструктуры и бизнес-процессов
Компрометация маршрутизаторов и коммутаторов на базе IOS/IOS XE создает угрозу не только доступности, но и целостности сетевого трафика. Потенциальный RCE с правами root открывает путь к перехвату управления, изменению конфигураций, боковому перемещению и саботажу сетевых сервисов. В сценариях с SNMPv3 утечка учетных данных способна ускорить эскалацию атак.
Рекомендации по снижению рисков
Патч как приоритет №1. Установите обновления Cisco как можно скорее. Для тех, кто не может обновиться немедленно:
— Ограничьте доступ к SNMP только доверенными источниками (ACL, контроль интерфейсов управления, VPN).
— Отключите SNMP на внешних интерфейсах или полностью, если служба не используется.
— Отдавайте предпочтение SNMPv3 с сильной аутентификацией, ротацией паролей и минимальными привилегиями.
— Мониторьте состояние устройств и аномалии через встроенные команды snmp и журналирование.
— Пересмотрите и зафиксируйте значения community strings, исключив значения по умолчанию.
Дополнительные исправления Cisco: что еще закрыто
IOS XE: отраженная XSS (CVE-2025-20240)
Отраженная XSS в Cisco IOS XE может позволить неаутентифицированному удаленному атакующему похищать cookie с уязвимых устройств. По данным Cisco, эксплойты proof‑of‑concept уже доступны.
DoS уязвимость (CVE-2025-20149)
Аутентифицированный локальный атакующий способен принудительно перезагружать затронутые устройства, вызывая отказ в обслуживании.
ASA/FTD VPN веб‑сервер: попытки эксплуатации (CVE-2025-20333 и CVE-2025-20362)
CVE-2025-20333 (CVSS 9.9) — ошибка проверки входных данных в HTTP(S)‑запросах, позволяющая аутентифицированному VPN‑пользователю выполнить произвольный код с правами root путем отправки специально сформированных запросов.
CVE-2025-20362 (CVSS 6.5) — несоответствующая валидация входных данных, дающая неаутентифицированному удаленному злоумышленнику доступ к защищенным разделам веб‑интерфейса.
В Cisco сообщают о «попытках эксплуатации» обеих уязвимостей. Предположительно уязвимости могут комбинировать для обхода аутентификации и последующего RCE на уязвимых устройствах.
Организациям рекомендуется ускорить цикл обновлений, сегментировать доступ к административным интерфейсам и минимизировать экспозицию SNMP. Быстрое внедрение патчей, жесткая сетево‑политическая изоляция и контроль привилегий снижают вероятность успешной эксплуатации даже при наличии публичных PoC. Поддерживайте инвентаризацию устройств Cisco, внедрите мониторинг попыток входа и аномалий SNMP/HTTP(S), а также регулярно пересматривайте правила доступа к управлению сетью.
