Circa 2 milioane de dispozitive Cisco sunt expuse la riscul unei breșe de securitate gravă, exploatată activ, care permite atacatorilor să provoace prăbușiri ale sistemelor sau să execute coduri dăunătoare de la distanță.
Compania Cisco a anunțat miercuri că vulnerabilitatea, identificată sub codul CVE-2025-20352, este prezentă în toate versiunile suportate ale sistemelor de operare Cisco IOS și Cisco IOS XE, folosite la scară largă în rețelele de dispozitive ale companiei. Această vulnerabilitate poate fi exploatată de utilizatori cu privilegii reduse pentru a iniția atacuri de tipul “denial-of-service” sau de către utilizatori cu privilegii mai mari pentru a executa coduri care rulează cu drepturi depline de administrator. Vulnerabilitatea are un grad de severitate de 7.7 dintr-un maxim posibil de 10.
„Echipa de răspuns la incidente de securitate a produselor Cisco (PSIRT) a detectat exploatarea cu succes a acestei vulnerabilități în mediul online, după ce credențialele de administrator local au fost compromise,” se menționează în anunțul de miercuri. „Cisco recomandă cu insistență ca clienții să actualizeze la o versiune de software care remediază această vulnerabilitate.”
Problema este cauzată de un bug de tip stack overflow în componenta IOS care gestionează SNMP (protocolul simplu de administrare a rețelei), folosit de routere și alte dispozitive pentru a colecta și administra informații despre dispozitivele dintr-o rețea. Vulnerabilitatea poate fi exploatată prin trimiterea unor pachete SNMP modificate special pentru acest scop.
Pentru a executa coduri malițioase, atacatorul la distanță trebuie să dețină un șir de comunitate doar-citire, o formă specifică SNMP de autentificare pentru accesarea dispozitivelor gestionate. Adesea, aceste șiruri sunt incluse în dispozitive la livrare. Chiar și când sunt modificate de un administrator, șirurile de comunitate doar-citire sunt adesea bine cunoscute în cadrul unei organizații. Atacatorul va avea nevoie de asemenea de privilegii pe sistemele vulnerabile. Cu acestea, el poate obține capacități de executare de cod la distanță (RCE) care rulează ca root.
“Dacă obții RCE ca root, ai privilegii mai mari decât un admin,” a scris cercetătorul independent Kevin Beaumont într-un interviu online. “Nu ar trebui să poți obține acces root pe acele dispozitive.”
Pentru a realiza un atac DOS, tot ce îi trebuie unui atacator este șirul de comunitate doar-citire sau credențiale valide de utilizator SNMPv3.
Expunerea dispozitivelor SNMP la interfețe Internet este nerecomandată deoarece expune inutil rețelele la astfel de riscuri. Cum a notat Beaumont pe Mastodon, motorul de căutare Shodon indică faptul că peste 2 milioane de dispozitive din întreaga lume fac exact acest lucru.
Cea mai bună protecție împotriva exploatării este instalarea unui update pe care Cisco l-a lansat. Pentru cei care nu pot face acest lucru imediat, pot reduce riscul permițând doar utilizatorilor de încredere accesul la SNMP și monitorizând dispozitivele Cisco folosind comanda snmp în fereastra terminalului. Nu există soluții alternative. De asemenea, nu există detalii suplimentare despre exploatarea în mediul real.
CVE-2025-20352 este una dintre cele 14 vulnerabilități pe care Cisco le-a remediat în actualizarea sa din septembrie. Opt dintre vulnerabilități au primit calificative de severitate între 6.7 și 8.8.