У Cisco виявлено та активно експлуатується уразливість нульового дня CVE‑2025‑20352, що зачіпає всі підтримувані релізи IOS і IOS XE. Дефект в обробці SNMP призводить до переповнення стека й може використовуватися для відмови в обслуговуванні (DoS) або віддаленого виконання коду (RCE) на мережевих пристроях. За даними Cisco PSIRT, уразливість вже застосовується у реальних атаках, у частині інцидентів фіксується компрометація облікових даних локального адміністратора.
Переповнення стека в SNMP: як саме працює CVE‑2025‑20352
Проблема криється у компоненті IOS/IOS XE, що обробляє SNMP‑пакети. Для експлуатації достатньо надіслати спеціально сформовані SNMP‑запити через IPv4 або IPv6. Це відкриває шлях до збоїв сервісів або виконання коду.
Для RCE зловмиснику потрібна дійсна read‑only community string (SNMP v1/v2c) та підвищені привілеї на пристрої; у разі успіху код виконується з правами root. Для DoS достатньо read‑only community string або коректних облікових даних SNMPv3.
Поверхня атаки: відкритий SNMP і масове виявлення
Винос SNMP в інтернет істотно підвищує ризики. За оцінками дослідників, Shodan знаходить понад 2 млн пристроїв із відкритим SNMP у світі. Навіть режими read‑only не гарантують безпечності у разі наявності експлойтів до стеку протоколу.
Комбінація доступності SNMP, слабких community‑рядків і повторного використання паролів підсилює сценарії зламу, особливо якщо у середовищі відсутні сегментація та контроль доступу до керуючих інтерфейсів.
Ризики для мережі та бізнес‑процесів
Компрометація маршрутизаторів і комутаторів на базі IOS/IOS XE загрожує не лише доступності, а й цілісності трафіку. Потенційний RCE з правами root дає змогу змінювати конфігурації, перехоплювати керування, виконувати бокове переміщення та саботувати мережеві сервіси.
У сценаріях з SNMPv3 витік або підбір облікових даних прискорює ескалацію привілеїв і полегшує підготовку наступних етапів атаки.
Негайні дії та пом’якшення ризиків
Патч — пріоритет №1. Оновіть IOS/IOS XE до виправлених версій без зволікань. Cisco прямо рекомендує негайне встановлення оновлень безпеки.
Обмежте доступ до SNMP виключно довіреними джерелами через ACL, контроль інтерфейсів керування та VPN; вимкніть SNMP на зовнішніх інтерфейсах або повністю, якщо сервіс не використовується.
Використовуйте SNMPv3 із сильною автентифікацією, регулярною ротацією паролів і мінімально необхідними привілеями; приберіть значення community за замовчуванням.
Налаштуйте моніторинг і журналювання аномалій SNMP/мережевої активності; відстежуйте спроби входу, нетипові запити та перезавантаження пристроїв.
Додаткові оновлення Cisco: інші уразливості, про які слід знати
IOS XE: відображена XSS (CVE‑2025‑20240)
Відображена XSS у Cisco IOS XE може дозволити неавтентифікованому віддаленому порушнику викрадати cookie з уразливих пристроїв; публічні proof‑of‑concept вже доступні.
DoS через локального користувача (CVE‑2025‑20149)
Автентифікований локальний атакувальник здатен примусово перезавантажувати пристрої, спричиняючи відмову в обслуговуванні.
ASA/FTD VPN веб‑сервер: спроби експлуатації (CVE‑2025‑20333, CVE‑2025‑20362)
CVE‑2025‑20333 (CVSS 9.9): помилка перевірки вхідних даних у HTTP(S)‑запитах дає автентифікованому VPN‑користувачу можливість виконати довільний код з правами root шляхом надсилання спеціально сформованих запитів.
CVE‑2025‑20362 (CVSS 6.5): некоректна валідація вхідних даних відкриває неавтентифікованому зловмиснику доступ до захищених розділів веб‑інтерфейсу. Cisco повідомляє про спроби експлуатації; уразливості потенційно можна комбінувати для обходу автентифікації і наступного RCE.
Швидке впровадження патчів, жорстка ізоляція керуючих інтерфейсів, мінімізація експозиції SNMP та постійний моніторинг різко знижують шанси успішної експлуатації навіть за наявності публічних PoC. Підтримуйте інвентаризацію активів Cisco, регулярно переглядайте правила доступу, впровадьте контроль привілеїв і навчайте адміністраторів безпечним практикам роботи з SNMP та веб‑інтерфейсами.
