思科公司披露了其广泛使用的IOS和IOS XE软件中存在一个零日漏洞CVE-2025-20352,并证实该漏洞已在野外被积极利用。
该漏洞存在于简单网络管理协议(SNMP)子系统中,可能使远程攻击者在易受攻击的设备上实现远程代码执行(RCE)或造成拒绝服务(DoS)状态。
该漏洞是在对思科技术支持中心(TAC)的一个支持案例进行调查时首次发现的。
该漏洞源于Cisco IOS和IOS XE软件的SNMP子系统中存在的栈溢出情况(CWE-121)。攻击者可通过IPv4或IPv6网络向受影响设备发送特制的SNMP数据包来触发此漏洞。
这份于2025年9月24日发布的公告证实,所有版本的SNMP(v1、v2c和v3)都易受影响。
漏洞利用的严重程度取决于攻击者的权限级别:
- 一个权限较低但已通过身份验证的远程攻击者可能会导致受影响的设备重新加载,从而引发拒绝服务状态。这需要获取SNMPv2c只读社区字符串或有效的SNMPv3用户凭据。
- 拥有管理员权限或15级权限凭证的高权限攻击者,能够在运行IOS XE的设备上以
root用户身份执行任意代码,从而有效地获得系统的完全控制权。
主动利用与受影响设备
思科产品安全事件响应团队(PSIRT)已确认该漏洞在野外被成功利用。
根据这份公告,攻击者在首先获取本地管理员凭据后利用了该漏洞,展示了一种链式攻击方法。
这凸显了在修补漏洞的同时,进行强有力的凭证管理的迫切需求。
该漏洞影响大量运行易受攻击的IOS和IOS XE软件版本且启用了SNMP的思科设备。提及的具体产品包括Meraki MS390和思科Catalyst 9300系列交换机。
| 产品 | 受影响版本 | 修复版本 |
|---|---|---|
| 思科IOS及IOS XE软件 | 在首个修复软件版本之前,所有启用了SNMP的版本都被视为存在漏洞。 | 客户应使用思科软件检查器来确定其特定软件系列的相应补丁版本。 |
| Meraki MS390交换机 | Meraki CS 17及更早版本。 | 该漏洞在思科IOS XE软件版本17.15.4a中已得到解决。 |
| 思科Catalyst 9300系列交换机 | Meraki CS 17及更早版本。 | 该漏洞已在Cisco IOS XE软件版本17.15.4a中得到修复。 |
任何启用了SNMP的设备都被视为存在漏洞,除非有特定配置来阻止恶意流量。管理员可以使用show running-config命令来确定其系统上的SNMP是否处于活动状态。
思科已发布软件更新以修复此漏洞,并强烈建议所有客户升级至修补后的软件版本,以彻底解决该问题。编号为cisco-sa-snmp-x4LPhte的公告明确指出,目前没有可用的临时解决办法。
对于无法立即应用这些更新的组织,思科提供了一种缓解技术。管理员可以配置一个SNMP视图来排除受影响的对象标识符(OID),从而防止触发易受攻击的代码路径。
然而,思科警告称,这种缓解措施可能会干扰网络管理功能,例如设备发现和硬件库存监控。作为一项通用安全措施,思科还建议将SNMP访问权限限制在仅可信用户范围内。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
