A Cisco alertou sobre uma vulnerabilidade de alta severidade nas versões do IOS Software e IOS XE Software que pode permitir a um atacante remoto executar código arbitrário ou causar uma condição de negação de serviço (DoS) em determinadas situações.
Identificada como CVE-2025-20352, com uma pontuação CVSS de 7,7, a falha já foi explorada em ambientes reais.
A empresa descobriu a vulnerabilidade após comprometerem credenciais de administrador local.
O problema está localizado no subsistema do Simple Network Management Protocol (SNMP) e decorre de uma condição de stack overflow.
Um atacante autenticado pode explorar essa falha enviando um pacote SNMP manipulado para o dispositivo vulnerável, tanto em redes IPv4 quanto IPv6.
Dependendo do nível de privilégios do invasor, isso pode causar um DoS (com privilégios baixos) ou a execução remota de código como root, possibilitando o controle total do sistema afetado.
Contudo, a Cisco destaca que algumas condições precisam ser atendidas para que o ataque tenha sucesso:
- Para provocar a negação de serviço, o invasor deve possuir a string de comunidade SNMPv2c ou versões anteriores em modo somente leitura, ou credenciais válidas do SNMPv3.
- Para executar código com privilégios de root, além da string de comunidade SNMPv1 ou v2c em modo somente leitura, ou credenciais SNMPv3 válidas, o atacante precisa ter credenciais administrativas ou de privilégio 15 no dispositivo.
A vulnerabilidade afeta todas as versões do SNMP, além de equipamentos específicos, como os switches Meraki MS390 e Cisco Catalyst 9300 Series que estejam rodando o Meraki CS 17 ou versões anteriores.
A falha já foi corrigida na versão 17.15.4a do Cisco IOS XE Software.
As plataformas Cisco IOS XR Software e NX-OS Software não são impactadas.
"Essa vulnerabilidade afeta todas as versões do SNMP. Todos os dispositivos com SNMP habilitado e que não tenham explicitamente excluído o objeto identificado (OID) afetado devem ser considerados vulneráveis", explicou a Cisco.
Não existem soluções temporárias (workarounds) que eliminem completamente o risco da CVE-2025-20352.
Como mitigação, a Cisco recomenda restringir o acesso SNMP apenas a usuários confiáveis e monitorar os sistemas utilizando o comando "show snmp host".
Além disso, é possível desabilitar os OIDs afetados nos dispositivos.
Vale destacar que nem todas as versões do software suportam o OID especificado na mitigação; caso o OID não seja válido, aquele equipamento não está vulnerável.
Por fim, a exclusão desses OIDs pode impactar funcionalidades de gerenciamento via SNMP, como descoberta de dispositivos e inventário de hardware, o que deve ser ponderado pelos administradores.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...