Mega Sekurak Hacking Party w Krakowie! 20.10.2025 r. Bilety -30%

Wprowadzenie do bezpieczeństwa IT od sekuraka!

Wprowadzenie do bezpieczeństwa IT

Ataki DoS lub RCE możliwe poprzez protokół SNMP w urządzeniach Cisco

29 września 2025, 01:54 | W biegu | 0 komentarzy
Tagi: , , ,

Dosłownie chwilę temu ostrzegaliśmy o aktywnych podatnościach CVE-2025-20362 i CVE-2025-20333 w Cisco ASA. Teraz firma Cisco informuje o błędzie, który pozwala – za pośrednictwem protokołu SNMP – na DoS (ang. Denial of Service) lub RCE (ang. Remote Code Execution) na produkowanych przez siebie urządzeniach. Podatność otrzymała identyfikator CVE-2025-20352 i wycenę CVSS na poziomie wysokim (7.7).

TLDR:

  • DoS lub RCE przez SNMP w urządzeniach Cisco
  • podatność jest aktywnie wykorzystywana
  • sprawdźcie aktualność oprogramowania na swoim sprzęcie

Atakujący, który uzyska dostęp za pośrednictwem protokołu SNMP w dowolnej wersji, czy to przy pomocy community read-only dla SNMP v1 oraz v2c, czy przy pomocy danych uwierzytelniających w przypadku SNMP v3, jest w stanie spowodować DoS urządzenia poprzez wywołanie reloadu urządzenia. 

Jeśli atakujący zdobędzie dodatkowo dane uwierzytelniające do konta administracyjnego lub posiadającego poziom uprawnień określany jako privilege 15, to będzie miał możliwość wykonania kodu (RCE) jako użytkownik root, a w konsekwencji przejęcia pełnej kontroli nad urządzeniem.

Błąd dotyczy urządzeń działających pod kontrolą Cisco IOS oraz Cisco IOS XE Software.  Podatne są także urządzenia Meraki MS390 oraz Cisco Catalyst 9300 Series Switches które działają pod kontrolą systemów Meraki CS 17 i wcześniejszych. W ich przypadku błąd został naprawiony w Cisco IOS XE 17.15.4a.

Istnieje także możliwość mitygacji zagrożenia poprzez wyłączenie możliwości dostępu do wrażliwego OID w SNMP. Szczegóły znajdziecie w advisory producenta, który jednak zaleca weryfikację możliwości wykorzystania tego typu rozwiązania we własnej sieci.

Zachęcamy do jak najszybszej weryfikacji czy podatność dotyczy urządzeń w Waszych sieciach, ponieważ firma Cisco ostrzega, że podatność jest już aktywnie wykorzystywana.

Ze swojej strony przypominamy o zabezpieczaniu sprzętu przy pomocy silnych haseł (dla wszystkich usług), dobrej praktyce, jaką jest wyłączanie nadmiarowych lub nieużywanych funkcjonalności w sprzęcie oraz – jeśli to możliwe – ograniczaniu dostępu do urządzeń wyłącznie do zaufanych sieci. I oczywiście regularnej aktualizacji oprogramowania, także na urządzeniach sieciowych.

~Paweł Różański

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz