Cisco opravilo aktívne zneužívanú zraniteľnosť operačných systémov IOS a IOS XE

Spoločnosť Cisco vydala bezpečnostné aktualizácie, ktoré opravujú 14 zraniteľností operačných systémov Cisco IOS a IOS XE, z čoho jedna je označená ako aktívne zneužívaná zero-day. CVE-2025-20352 by vzdialený útočník mohol zneužiť na zneprístupnenie služby, vzdialené vykonanie kódu a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

• Zariadenia Cisco s operačným systémom Cisco IOS a IOS XE bez inštalovanej záplaty z 24.09.2025
• Prepínače Meraki MS390 a Cisco Catalyst 9300 Series s operačným systémom Meraki CS 17 alebo staršou verziou

Pozn.: Zraniteľné sú všetky zariadenia, na ktorých je aktivované SNMP a zraniteľné OID (Object ID) neboli explicitne zakázané v rámci konfigurácie.

Opis zraniteľnosti:

CVE-2025-20352 (CVSSv3.1 skóre 7,7)

CVE-2025-20352 sa nachádza v subsystéme SNMP (Simple Network Management Protocol) a spočíva v pretečení zásobníka. Zraniteľnosť možno zneužiť zaslaním špeciálne vytvorených SNMP paketov prostredníctvom IPv4 alebo IPv6. Vzdialený autentifikovaný útočník by ju mohol zneužiť na zneprístupnenie služby. Vzdialený autentifikovaný útočník s oprávneniami administrátora by ju mohol zneužiť aj na vykonanie kódu a získanie úplnej kontroly nad systémom. Zraniteľnosť v súčasnosti útočníci aktívne zneužívajú.

Pozn.: Na zneužitie zraniteľnosti musí útočník disponovať hodnotou tzv. read-only community string (SNMPv1, SNMPv2c) alebo platnými prihlasovacími údajmi (SNMPv3).

Možné škody:

• Zneprístupnenie služby (DoS)
• Vzdialené vykonanie kódu
• Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom odporúčame bezodkladne vykonať aktualizáciu systémov. Verziu aktualizácií potrebnú pre konkrétne zariadenie je možné zistiť pomocou nástroja Cisco Software Checker.

V prípade, že aktualizáciu zariadení nie je možné vykonať, zraniteľnosť je možné mitigovať limitovaním prevádzky SNMP len na dôveryhodné zdroje alebo úplným vypnutím SNMP. Administrátori môžu taktiež deaktivovať zraniteľné OID (Object ID) prostredníctvom CLI (Command Line Interface):

snmp-server view NO_BAD_SNMP iso included
snmp-server view NO_BAD_SNMP snmpUsmMIB excluded
snmp-server view NO_BAD_SNMP snmpVacmMIB excluded
snmp-server view NO_BAD_SNMP snmpCommunityMIB excluded
snmp-server view NO_BAD_SNMP cafSessionMethodsInfoEntry.2.1.111 excluded
snmp-server community mycomm view NO_BAD_SNMP RO

V prípade SNMPv3 použite príkaz:

snmp-server group v3group auth read NO_BAD_SNMP write NO_BAD_SNMP

Zdroje:

• https://sec.cloudapps.cisco.com/security/center/viewErp.x?alertId=ERP-75296
• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-snmp-x4LPhte
• https://www.bleepingcomputer.com/news/security/cisco-warns-of-ios-zero-day-vulnerability-exploited-in-attacks/