Компания Cisco Systems выпустила экстренное консультативное сообщение, в котором описана уязвимость высокой степени опасности, получившая идентификатор CVE-2025-20160. Дефект затрагивает широко распространенные операционные системы IOS и IOS XE, работающие на маршрутизаторах и коммутаторах Cisco. Суть уязвимости заключается в некорректной проверке конфигурации общего секрета (shared secret) для протокола TACACS+ (Terminal Access Controller Access-Control System Plus), который используется для централизованной аутентификации, авторизации и учёта доступа к сетевым устройствам.
Детали уязвимости
Проблема возникает в тех случаях, когда на устройстве активирована поддержка TACACS+, но для него не задан сам секретный ключ. В такой ситуации программное обеспечение не проверяет наличие секрета перед обработкой запросов аутентификации. Это создает условия для проведения атаки «злоумышленник в середине» (machine-in-the-middle), когда противник, находящийся на пути сетевого трафика, может перехватывать, читать и манипулировать сообщениями TACACS+. Поскольку при отсутствии ключа эти сообщения не шифруются, злоумышленник получает возможность получить конфиденциальную информацию, содержащуюся в них.
Однако наибольшую опасность представляет другой сценарий атаки. Злоумышленник может напрямую impersonate, то есть выдать себя за легитимный сервер TACACS+. Отправляя специально сформированные ответы на запросы аутентификации с устройства, атакующий способен полностью обойти проверки подлинности. В случае успешной эксплуатации это предоставляет ему неавторизованный доступ к сетевому устройству с полными административными привилегиями. Фактически, злоумышленник получает полный контроль над маршрутизатором или коммутатором, что открывает путь к чтению и изменению конфигурации, извлечению учетных данных и другой чувствительной информации, а также к использованию устройства как плацдарма для дальнейшего продвижения вглубь корпоративной сети.
Согласно общепринятой системе оценки степени опасности уязвимостей CVSS (Common Vulnerability Scoring System) версии 3.1, данной проблеме присвоен высокий балл - 8.1. Под угрозой находится любое устройство Cisco, работающее под управлением уязвимой версии IOS или IOS XE, в конфигурации которого активирован TACACS+, но не задан общий секретный ключ. Последствия эксплуатации уязвимости варьируются от несанкционированного раскрытия содержимого пакетов TACACS+ до полного обхода аутентификации с получением прав высшего уровня.
На текущий момент, по заявлению Cisco, не зафиксировано случаев активного злонамеренного использования (exploit) этой уязвимости в дикой природе. Тем не менее, учитывая серьезность потенциального воздействия и относительную простоту эксплуатации при наличии определенного сетевого положения, компания настоятельно рекомендует всем клиентам немедленно принять меры.
Основным и самым эффективным способом устранения уязвимости является установка обновлений программного обеспечения. Cisco уже выпустила исправленные версии IOS и IOS XE, перечень которых приведен в разделе «Fixed Software» консультативного сообщения. Администраторам следует запланировать и провести обновление затронутых устройств в кратчайшие возможные сроки.
В качестве временной меры, которая позволяет смягчить риск до момента применения заплаток, Cisco предписывает администраторам убедиться, что для каждого настроенного на устройстве сервера TACACS+ задан действительный общий секретный ключ. Для проверки текущей конфигурации необходимо использовать команду show running-config | include tacacs server|key в интерфейсе командной строки устройства. Результат выполнения команды не должен содержать записей о сервере TACACS+, у которых отсутствует строка с ключом (key). Если такие записи обнаружены, их необходимо немедленно исправить, задав надежный сложный секрет. Важно подчеркнуть, что эта мера является временной и не заменяет необходимость последующего обновления прошивки.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-20160
- https://nvd.nist.gov/vuln/detail/CVE-2025-20160
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ios-tacacs-hdB7thJw
