Cisco IOS XE zero day SNMP ranjivost

Sadržaj
‍
Cisco je potvrdio i zakrpao zero-day ranjivost CVE-2025-20352 u SNMP podsustavu Cisco IOS/IOS XE. Propust se aktivno iskorištava. Napad je moguć slanjem posebno oblikovanog SNMP paketa; uz niže privilegije izaziva DoS, a uz više privilegije na IOS XE može dovesti do potpunog preuzimanja uređaja (RCE/root). Zakrpe su objavljene, a privremena mjera je strogo ograničiti SNMP pristup.

Detalji
‍
CVE-2025-20352 je propust u SNMP podsustavu Cisco IOS i IOS XE koji proizlazi iz pogrešnog rukovanja posebno oblikovanim SNMP zahtjevima te dovodi do prelijevanja stoga u procesu koji obrađuje PDU poruke. Napadač s važećim SNMP vjerodajnicama niske razine može daljinski prouzročiti rušenje i ponovno podizanje uređaja pa se u praksi vidi niz reload događaja i poruka o neočekivanom padu procesa u zapisima sustava. Ako napadač raspolaže višim privilegijama primjerice kompromitiranim administratorskim računom ili mogućnošću slanja zahtjeva koji se obrađuju u kontekstu s višim ovlastima na platformama IOS XE isti mehanizam može rezultirati izvršavanjem proizvoljnog koda do razine root čime je moguć potpuni nadzor nad uređajem i trajna promjena konfiguracije.

Tipičan napadni lanac započinje pronalaskom izloženih SNMP sučelja uz pogađanje ili krađu community stringa kod SNMPv2c odnosno iskorištavanje slabih lozinki ili neadekvatno postavljenog korisnika kod SNMPv3 nakon čega slijedi slanje ciljano konstruiranih PDU poruka koje aktiviraju ranjivi kôd stoga uređaji s otvorenim SNMP na javnim adresama ili bez strogo definiranih ACL pravila predstavljaju visok rizik.

Cisco je zbog aktivnog iskorištavanja ograničio tehničke detalje o točnim OID pozivima i strukturi paketa ali je potvrdio da su ranjive i IPv4 i IPv6 staze obrade te da sanacija zahtijeva nadogradnju na izdanja s ispravkom budući da se pouzdanim konfiguracijskim mjerama može samo ublažiti izloženost. U prijelaznom razdoblju preporučuje se odvojiti upravljačka sučelja od javnih mreža primijeniti stroge liste dopuštenih izvora za SNMP te pojačati nadzor nad SNMP prometom i dnevnicima kako bi se rano uočile anomalije poput iznenadnih valova SNMP zahtjeva ili neobjašnjivih reload događaja.

Preporuka
‍
• Odmah ažurirati IOS/IOS XE na izdanje s ispravkom za CVE-2025-20352 (prema Cisco advisoryju za vaš model i release train).
• Ograničiti SNMP: dopustiti pristup samo s administrativnih mreža, primijeniti stroge IPv4/IPv6 ACL-ove, onemogućiti SNMP ako nije nužan.
• Rotirati vjerodajnice i provjeriti tko ima povišene privilegije na uređajima; primijeniti AAA, RBAC i najmanje privilegije.
• Nadzor i IOC-i: pratiti neuobičajene SNMP pokušaje, reload događaje i promjene konfiguracije; centralizirati logove (Syslog/NetFlow) i upozorenja.
• Segmentacija i izlaganje: administrativna sučelja držati iza VPN-a/jump-hosta; izbjegavati upravljanje preko javnog interneta.

Reference
‍
• https://www.bleepingcomputer.com/news/security/cisco-warns-of-ios-zero-day-vulnerability-exploited-in-attacks/
• https://www.crn.com/news/security/2025/cisco-discloses-exploitation-of-ios-zero-day-vulnerability
• https://sec.cloudapps.cisco.com/security/center/publicationListing.x

‍