Circa 2 milioane de dispozitive Cisco sunt expuse la o vulnerabilitate zero-day, care este activ exploatată și poate provoca prăbușirea sistemelor vulnerabile sau executarea de coduri dăunătoare de la distanță.
Cisco a anunțat miercuri că vulnerabilitatea, identificată sub numărul CVE-2025-20352, se regăsește în toate versiunile suportate ale sistemelor de operare Cisco IOS și Cisco IOS XE, care sunt baza pentru o varietate largă de dispozitive de rețea ale companiei. Vulnerabilitatea poate fi exploatată de utilizatorii cu privilegii reduse pentru a initia un atac de tip denial-of-service (DoS), sau de utilizatori cu privilegii mai ridicate pentru a executa coduri care rulează cu drepturi depline de administrator (root). Aceasta a primit un rating de severitate de 7.7 dintr-un maxim posibil de 10.
Echipa de răspuns la incidente de securitate a produselor Cisco (PSIRT) a raportat că a devenit conștientă de exploatarea cu succes a acestei vulnerabilități după ce acreditivele de administrator local au fost compromise. „Cisco recomandă cu insistență clienților să actualizeze la o versiune de software reparată pentru a remedia această vulnerabilitate,” se afirmă în comunicatul de miercuri.
Vulnerabilitatea este cauzată de un bug de tip stack overflow în componenta IOS care gestionează SNMP (protocolul simplu de administrare a rețelei), utilizat de routere și alte dispozitive pentru colectarea și gestionarea informațiilor despre dispozitivele dintr-o rețea. Vulnerabilitatea este exploatată prin trimiterea de pachete SNMP personalizate.
Pentru a executa coduri dăunătoare, atacatorul la distanță trebuie să dețină un șir de comunitate doar pentru citire, o formă specifică SNMP de autentificare pentru accesarea dispozitivelor gestionate. De obicei, aceste șiruri sunt preinstalate pe dispozitive. Chiar și când sunt modificate de un administrator, șirurile de comunitate doar pentru citire sunt adesea cunoscute pe scară largă în cadrul unei organizații. Atacatorul ar avea nevoie, de asemenea, de privilegii pe sistemele vulnerabile. Cu acestea, atacatorul poate obține capacități de executare de cod la distanță (RCE) care rulează ca root.
„Dacă obții RCE ca root, ai privilegii mai mari decât un admin,” a scris cercetătorul independent Kevin Beaumont într-un interviu online. „Nu ar trebui să poți obține acces root pe acele dispozitive.”
Pentru a efectua un DoS, tot ce are nevoie un atacator este șirul de comunitate doar pentru citire sau acreditările valide de utilizator SNMPv3.
Facerea accesibilă a dispozitivelor SNMP interfetelor Internet este dezaprobată deoarece expune inutil rețelele la riscuri de acest fel. Cu toate acestea, așa cum a notat Beaumont pe Mastodon, motorul de căutare Shodon indică faptul că mai mult de 2 milioane de dispozitive din întreaga lume fac exact acest lucru.
Cea mai bună protecție împotriva exploatării este instalarea unui update pe care Cisco l-a lansat. Pentru cei care nu pot face acest lucru imediat, pot atenua riscul permițând doar utilizatorilor de încredere să aibă acces SNMP și monitorizând dispozitivele Cisco folosind comanda snmp în fereastra terminalului. Nu există soluții alternative. Nu sunt disponibile detalii suplimentare despre exploatarea în mediul online.
CVE-2025-20352 este una dintre cele 14 vulnerabilități pe care Cisco le-a remediat în actualizarea sa din septembrie. Opt dintre vulnerabilități au primit ratinguri de severitate între 6.7 și 8.8.
Poll: Care este cea mai bună măsură de protecție împotriva exploatării vulnerabilității zero-day în dispozitivele Cisco?
Revista “Ştiinţă şi Tehnică“, cea mai cunoscută şi longevivă publicaţie de popularizare a ştiintelor din România
Leave a Reply