В популярном пакете для реализации протокола SNMP, Net-SNMP, обнаружена опасная уязвимость, которая позволяет удаленным злоумышленникам нарушить работу критически важного компонента сетевой инфраструктуры. Проблема, получившая идентификатор CVE-2025-68615, представляет собой переполнение буфера в демоне "snmptrapd". Это программное обеспечение отвечает за прием и обработку так называемых SNMP-трапов - уведомлений, которые автоматически отправляют сетевые устройства при возникновении определенных событий.
Уязвимость была обнаружена исследователем Buddurid в сотрудничестве с программой Trend Micro Zero Day Initiative (ZDI) и своевременно передана разработчикам для устранения. В результате скоординированного раскрытия информации группа сопровождения Net-SNMP оперативно выпустила исправленные версии пакета.
Техническая суть и серьезность угрозы
Согласно системе оценки CVSS (Common Vulnerability Scoring System) версии 3.1, уязвимости присвоен критический балл 9.8 из 10. Высокий рейтинг обусловлен совокупностью опасных факторов. Во-первых, для эксплуатации уязвимости атакующему не требуется аутентификация, специальные привилегии или какие-либо действия со стороны пользователя. Во-вторых, вектор атаки является сетевым, что делает потенциальной целью любой экземпляр демона "snmptrapd", доступный из сети.
Переполнение буфера возникает в момент обработки специально сформированных вредоносных SNMP-пакетов. В результате демон аварийно завершает работу, что приводит к полному прекращению приема уведомлений от сетевого оборудования. Следовательно, под угрозу попадают все три ключевых принципа информационной безопасности: конфиденциальность, целостность и доступность данных мониторинга. Сервис перестает функционировать до момента ручного перезапуска, что может привести к пропуску критически важных инцидентов в сети, таких как отказ оборудования или атаки.
Масштаб потенциального воздействия
Net-SNMP является фундаментальным компонентом инфраструктуры управления сетями во множестве корпоративных сред и центров обработки данных. Библиотека и связанные с ней утилиты используются для мониторинга состояния серверов, сетевых коммутаторов, маршрутизаторов и другого оборудования. Широкое распространение этого инструмента многократно увеличивает потенциальное влияние уязвимости. Сбои в работе системы мониторинга могут остаться незамеченными, лишая администраторов возможности оперативно реагировать на проблемы.
Рекомендации по устранению и смягчению последствий
Затронуты все версии Net-SNMP, предшествующие исправленным релизам. Для устранения уязвимости сопровождающие выпустили две обновленные версии: стабильную 5.9.5 и пре-релиз 5.10.pre2. Организациям, использующим "snmptrapd" в промышленной среде, настоятельно рекомендуется немедленно обновить пакет до одной из этих версий.
Эксперты в области кибербезопасности традиционно подчеркивают, что порты, используемые протоколом SNMP (обычно 161/UDP и 162/UDP), ни при каких обстоятельствах не должны быть доступны из публичных сетей, таких как интернет. Однако для уже уязвимых развертываний эффективных мер смягчения, кроме установки патча, не существует. Сетевые администраторы могут рассмотреть дополнительные контрмеры. Например, сегментация сети и настройка правил межсетевого экрана, ограничивающих доступ к демону "snmptrapd" только с доверенных подсетей для управления, могут снизить поверхность атаки. Важно понимать, что эти меры лишь уменьшают вероятность эксплуатации, но не устраняют саму уязвимость.
Критический характер этой уязвимости, возможность удаленной эксплуатации без аутентификации и ее прямое влияние на работоспособность систем мониторинга требуют безотлагательного внимания со стороны администраторов сетей и команд безопасности. Промедление с обновлением создает значительные операционные риски для всей ИТ-инфраструктуры организации.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-68615
- https://github.com/net-snmp/net-snmp/security/advisories/GHSA-4389-rwqf-q9gq
