Компания Cisco официально подтвердила наличие критической уязвимости нулевого дня в своем программном обеспечении IOS и IOS XE, которая уже активно эксплуатируется злоумышленниками в реальных атаках. Уязвимость, получившая идентификатор CVE-2025-20352, затрагивает подсистему протокола простого управления сетями (SNMP) и открывает возможности для проведения атак на отказ в обслуживании и удаленного выполнения кода в зависимости от уровня привилегий атакующего.
Детали уязвимости
Основой проблемы является переполнение стека в рамках подсистемы SNMP, затрагивающее все версии реализаций данного протокола. Эксплуатация уязвимости возможна путем отправки специально сформированных SNMP-пакетов на уязвимые устройства через сети IPv4 или IPv6. Безопасностный дефект создает два различных сценария атаки. Атакующие с низкими привилегиями, обладающие строками сообщества только для чтения SNMPv2c или действительными учетными данными пользователя SNMPv3, могут инициировать условие отказа в обслуживании, вызывая перезагрузку затронутых систем и нарушая работу сетей. Более серьезную угрозу представляют атакующие с высокими привилегиями, которые, имея строки сообщества только для чтения SNMPv1 или v2c в сочетании с учетными данными администратора или уровня привилегий 15, могут добиться полного удаленного выполнения кода с правами пользователя root, что потенциально дает им полный контроль над скомпрометированными системами.
Уязвимость затрагивает широкий спектр устройств Cisco, работающих под управлением уязвимых выпусков программного обеспечения IOS и IOS XE. Под удар также попали коммутаторы Meraki MS390 и серии Cisco Catalyst 9300, работающие под управлением Meraki CS 17 и более ранних версий. Cisco подтвердила, что все устройства с включенным SNMP следует считать уязвимыми, если в них явно не исключен затронутый идентификатор объекта. Сетевые администраторы могут определить, являются ли их устройства уязвимыми, проверив конфигурацию SNMP с помощью команд интерфейса командной строки. Для SNMPv1 и v2c команда "show running-config include snmp-server community" покажет, включен ли SNMP. Наличие SNMPv3 можно проверить с помощью команд "show running-config include snmp-server group" и "show snmp user".
Группа реагирования на инциденты безопасности продуктов Cisco подтвердила, что данная уязвимость активно эксплуатируется после компрометации учетных данных локального администратора. Компания обнаружила продолжающиеся атаки в процессе разрешения обращения в службу технической поддержки, что подчеркивает реальную угрозу, исходящую от этого дефекта безопасности. Уязвимость имеет базовый балл 7.7 по шкале CVSS 3.1, что классифицируется как высокий уровень серьезности, с сетевым вектором атаки, низкой сложностью эксплуатации и измененной областью воздействия. Дефект отнесен к категории CWE-121, связанной с переполнением буфера в стеке, что подчеркивает критический характер проблемы повреждения памяти.
Cisco выпустила обновления программного обеспечения, устраняющие эту уязвимость, и настоятельно рекомендует немедленно обновиться до исправленных версий. Обходные пути отсутствуют, однако администраторы могут применить меры по снижению риска, отключив конкретные затронутые идентификаторы объектов и ограничив доступ SNMP только доверенным пользователям. Компания советует осуществлять мониторинг затронутых систем с помощью команды "show snmp host" параллельно с подготовкой к установке обновлений программного обеспечения. Данный инцидент лишний раз демонстрирует важность своевременного применения исправлений и соблюдения принципа минимальных привилегий при настройке сетевых служб управления.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-20352
- https://nvd.nist.gov/vuln/detail/CVE-2025-20352
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-snmp-x4LPhte
