Cisco i luka zero-day CVE-2025-20352 – aktywnie wykorzystywana podatność
Firma Cisco potwierdziła istnienie poważnej luki CVE-2025-20352 w implementacji protokołu SNMP w systemach IOS oraz IOS XE. Podatność jest już aktywnie wykorzystywana przez cyberprzestępców. W zależności od uprawnień atakującego, błąd może prowadzić do odmowy usługi (DoS) lub – w przypadku administratorów z wyższymi uprawnieniami – do zdalnego wykonania kodu z uprawnieniami root.
Eksploatacja polega na wysłaniu spreparowanego pakietu SNMP (IPv4 lub IPv6). Nawet w sieciach korzystających z SNMPv3, ryzyko istnieje, jeśli konfiguracje uprawnień są błędne. W praktyce oznacza to, że każda sieć z aktywnym SNMP powinna być traktowana jako potencjalnie narażona.
Cisco routery i switche – skala zagrożenia
Według komunikatu Cisco, zagrożenie dotyczy milionów routerów i switchy działających z aktywnym SNMP. Szczególnie podatne są urządzenia z serii Catalyst oraz rozwiązania Meraki w starszych wersjach firmware’u.
Atakujący mogą wykorzystać dostęp do community string (SNMPv2c) lub poświadczeń SNMPv3, aby przeprowadzić atak. Zgodnie z danymi z NVD, podatność wynika z błędu przepełnienia stosu i otrzymała ocenę CVSS 7.7, co klasyfikuje ją jako zagrożenie o wysokiej krytyczności.
Cisco SNMP CVE-2025-20352 – zalecane działania
Cisco wydało już aktualizacje bezpieczeństwa dla IOS i IOS XE, eliminujące tę lukę. Firma zaleca jak najszybszą instalację łatek. Do czasu ich wdrożenia administratorzy powinni zastosować mitigacje:
- ograniczenie dostępu do SNMP wyłącznie z zaufanych hostów,
- monitorowanie aktywności SNMP (np. show snmp host),
- wyłączenie nieużywanych OID w konfiguracji,
- kontrolę uprawnień użytkowników SNMPv3.
Dane techniczne – luka Cisco CVE-2025-20352
|
Parametr |
Szczegóły |
|
Identyfikator |
CVE-2025-20352 |
|
Dotyczy systemów |
Cisco IOS, Cisco IOS XE |
|
Mechanizm ataku |
Spreparowany pakiet SNMP (IPv4/IPv6) |
|
Typ podatności |
Stack overflow |
|
Skutki |
DoS (niski poziom uprawnień), RCE z uprawnieniami root (wysoki poziom) |
|
CVSS |
7.7 (wysoka krytyczność) |
|
Status |
Luka aktywnie wykorzystywana w atakach |
|
Rozwiązanie |
Aktualizacje IOS / IOS XE, ograniczenie dostępu do SNMP |
Podsumowanie
Podatność CVE-2025-20352 w implementacji SNMP w Cisco IOS / IOS XE stanowi jedno z największych zagrożeń ostatnich miesięcy dla infrastruktury sieciowej. Błąd umożliwia zarówno wywołanie DoS, jak i przejęcie pełnej kontroli nad urządzeniem. Ponieważ ataki już trwają, administratorzy muszą potraktować tę podatność priorytetowo. Najbezpieczniejszym krokiem jest natychmiastowa instalacja łatek dostarczonych przez Cisco oraz ograniczenie dostępu do SNMP tylko do zaufanych sieci.