Kritiek zero-day-lek treft Cisco IOS en IOS XE

In dit artikel:

Cisco waarschuwt voor een actief misbruikt zero-day in IOS en IOS XE (CVE-2025-20352, CVSS 7,7) waarmee via SNMP zowel een denial of service als remote code execution mogelijk is. De fout ontstaat door een stack overflow in het SNMP‑subsystem; aanvallers met geldige SNMP‑inloggegevens kunnen met speciaal vervaardigde pakketten een apparaat laten herstarten (DoS) of, bij hogere rechten, willekeurige code als root uitvoeren en zo volledige controle krijgen.

Onderzoek met Shodan laat zien dat mogelijk zo’n twee miljoen Cisco‑apparaten wereldwijd kwetsbaar zijn omdat hun SNMP‑interfaces rechtstreeks aan het internet blootstaan. Ook Meraki MS390 en Catalyst 9300‑switches met Meraki CS 17 of ouder worden genoemd; voor IOS XE is de fout opgelost in release 17.15.4a. Cisco meldt dat de kwetsbaarheid al actief wordt misbruikt nadat beheerdersaccounts werden gecompromitteerd.

Er zijn praktisch geen bruikbare workarounds: het uitsluiten van specifieke OID’s is mogelijk maar kan SNMP‑functionaliteit verstoren. De enige volwaardige oplossing is het installeren van de door Cisco uitgegeven patches. De bug maakt deel uit van een september‑update waarin 14 lekken werden gedicht (acht met hoge scores). Organisaties wordt dringend aangeraden direct te patchen en SNMP‑toegang zoveel mogelijk te beperken tot vertrouwde beheerders.