Miliony routerów i switchy Cisco zagrożonych przez aktywnie wykorzystywaną lukę zero-day CVE-2025-20352 w protokole SNMP

Routery i przełączniki sieciowe to urządzenia, które obsługują ogromną część globalnego ruchu danych. Pojawienie się w nich poważne luki bezpieczeństwa, zwłaszcza takiej, która jest aktywnie wykorzystywana przez cyberprzestępców, stwarza poważne zagrożenie. Może ono dotyczyć zarówno wielkich korporacji, jak i mniejszych firm, a w efekcie także zwykłych użytkowników. Skutki udanego ataku hakerskiego mogą być trudne do oszacowania.

Krytyczna luka w protokole SNMP naraża miliony urządzeń sieciowych Cisco na aktywne ataki, pozwalając na zdalne przejęcie kontroli.

Hakerzy mogą zainfekować płyty główne serwerów Supermicro nieusuwalnymi wirusami poprzez luki w kontrolerach BMC

Cisco ujawniło krytyczną lukę bezpieczeństwa w protokole Simple Network Management Protocol swoich systemów operacyjnych IOS i IOS XE. Podatność CVE-2025-20352 otrzymała ocenę 7.7 w skali CVSS i jest już aktywnie wykorzystywana przez cyberprzestępców w rzeczywistych atakach. Problem wynika z przepełnienia stosu w podsystemie SNMP i dotyczy wszystkich obsługiwanych wersji Cisco IOS Software oraz Cisco IOS XE Software. Hakerzy mogą wykorzystać lukę poprzez wysłanie specjalnie spreparowanego pakietu SNMP do zagrożonego urządzenia przez sieci IPv4 lub IPv6. To co może zrobić haker, zależy od tego, jakie ma uprawnienia. Jeśli ma podstawowy dostęp, może zablokować urządzenie. Jeśli ma wyższe uprawnienia, może przejąć pełną kontrolę nad systemem.

Ta podatność mogła zniszczyć cały Microsoft Azure. Jeden token wystarczył do przejęcia kontroli nad wszystkimi kontami firm

Aby przeprowadzić atak DoS, cyberprzestępca potrzebuje hasła dostępu do SNMP w wersji 2c lub starszej, albo prawidłowych danych logowania do SNMP w wersji 3. Do wykonania kodu jako administrator wymagane są dodatkowo uprawnienia administracyjne lub najwyższy poziom dostępu (privilege 15) na zagrożonym urządzeniu. Cisco ostrzega, że wszystkie urządzenia z włączonym SNMP są zagrożone, chyba że administrator specjalnie wyłączył problematyczną funkcję. Firma wydała poprawkę w wersji Cisco IOS XE Software Release 17.15.4a. Tymczasowo administratorzy mogą ograniczyć dostęp SNMP tylko do zaufanych użytkowników i wyłączyć podatne identyfikatory obiektów, choć może to wpłynąć na zarządzanie urządzeniami. Problem jest kolejnym przykładem ciągłego zagrożenia dla infrastruktury sieciowej Cisco. Wcześniej portal informowaliśmy o wykorzystywaniu luk w routerach tej firmy przez rosyjską grupę Static Tundra do ataków na infrastrukturę krytyczną. Na poniższej ilustracji z profilu Kevina Beaumonta (GossiTheDog) na portalu Mastodon widać wyniki z wyszukiwarki Shodan wskazujące, że na całym świecie ponad 2 mln urządzeń udostępnia urządzenia SNMP przez interfejsy sieciowe.