Les attaquants ont déjà exploité la vulnérabilité SNMP pour exécuter le code distant ou le service de refus.
Les administrateurs de réseau doivent rapidement corriger une vulnérabilité dans les logiciels IOS et iOS XE iOS de Cisco pour supprimer une condition de débordement de pile dans le sous-système de protocole de gestion du réseau (SNMP) du logiciel ou des attaques désagréables à risque, disent les experts.
«Je ne retarderais pas les correctifs», explique David Shipley, responsable de la société canadienne de sensibilisation à la sécurité Beauceron Security, car avec la libération d’un Cisco avertissant du trou «Les attaquants auront probablement des POC (des preuves de concept d’un exploit) avec des heures, grâce aux outils de l’IA. Retarder les correctifs à votre propre (péril).»
La vulnérabilité, CVE-2025-20352, peut:
- Autorisez un attaquant authentifié faible privilégié qui envoie un paquet SNMP fabriqué à un appareil affecté à recharger le système, ce qui entraîne une condition de déni de service (DOS).
- Permettez à un attaquant très privilégié d’exécuter du code arbitraire en tant qu’utilisateur et obtenez un contrôle total du système affecté.
Pour provoquer le DOS, l’attaquant doit avoir le SNMPV2C ou une chaîne de communauté en lecture seule antérieure ou des informations d’identification utilisateur SNMPV3 valides.
Pour exécuter le code en tant qu’utilisateur, l’attaquant doit avoir la chaîne de communauté en lecture seule SNMPV1 ou V2C ou des informations d’identification de l’utilisateur SNMPV3 valides et des informations d’identification administratives ou privilèges 15 sur l’appareil affecté.
L’équipe de réponse aux incidents de sécurité des produits Cisco (PSIRT) a pris conscience de l’exploitation réussie de cette vulnérabilité dans la nature après que les références locales ont été compromises.
« Il nécessite un utilisateur authentifié, donc au moins ce n’est pas un RCE non authentifié (exécution de code distant) », a déclaré Shipley. La vulnérabilité a un score CVSS élevé de 7,7, « mais (ce n’est pas) le pire que nous ayons vu récemment. »
Ed Dubrovsky, chef de l’exploitation de la société de réponse aux incidents basée aux États-Unis, Cypfer, a également noté qu’un attaquant réussi devrait être authentifié.
Bien que de nombreuses entreprises utilisent toujours des informations d’identification par défaut au niveau du protocole SNMP, a-t-il dit, l’exigence d’avoir une authentification de dispositive supplémentaire pour exécuter le déni de service ou le RCE signifie une complexité supplémentaire pour un attaquant.
Il a ajouté que le risque que cela soit exploité par un initié qui a les informations d’identification nécessaires est presque égale à celle d’un étranger. En fait, a-t-il dit, si un attaquant extérieur a l’authentification requise, une organisation serait vraiment en difficulté.
Le besoin, basé sur le CVE, pour l’authentification multi-niveaux pour le SNMP et un appareil signifie que l’acteur de menace n’est pas un script kiddie, mais plutôt quelqu’un de plus motivé, probablement avec un ensemble de compétences plus technique, qui peut ensuite également tirer parti de l’accès de cet appareil pour se déplacer latéralement vers les systèmes de haut niveau, a-t-il déclaré.
«En fin de compte, un dispositif Cisco à The Edge est susceptible de ne pas avoir de données d’entreprise à ce sujet, et les acteurs de menace qui sont principalement motivés par des gains financiers ont besoin de données et d’accès au système à l’exfiltrat et à la verrouillage. APT (menace persistante avancée) et les acteurs de l’État national présentent une menace différente, bien sûr, mais il est probable que de tels environnements présenteraient des défenses supplémentaires supplémentaires pour réduire le risque supplémentaire de ce CVE.
« La plus grande question est de savoir si cette vulnérabilité peut alors être enchaînée pour obtenir un accès du système qui contient des données précieuses », a-t-il ajouté. «Bien que cela puisse être développé plus tard, il nécessitera probablement un niveau d’accès différent et pourrait donc poser un risque quelque peu réduit dans l’ensemble, encore une fois en raison de la complexité supplémentaire.»
Cette vulnérabilité affecte toutes les versions de SNMP dans des appareils non corrigés exécutant le logiciel iOS et iOS XE de Cisco.
Notez que les commutateurs de la série Meraki MS390 et Cisco Catalyst 9300 exécutant Meraki CS 17 et plus tôt sont également affectés. La faille est fixée dans la version du logiciel Cisco IOS XE 17.15.4a.
Les appareils Cisco ne sont pas affectés exécutant le logiciel iOS XR ou NX-OS.
Cisco a publié des mises à jour logicielles pour corriger le bogue. Les administrateurs qui ne peuvent pas immédiatement patch peuvent atténuer le problème en permettant uniquement aux utilisateurs de confiance d’avoir un accès SNMP sur un système affecté. Il est également conseillé de surveiller les systèmes affectés en utilisant la commande show snmp host dans l’interface de ligne de commande (CLI).
La société met en garde contre son avis, «les administrateurs peuvent désactiver les OID affectés (identificateurs d’objets) sur un appareil. Tous les logiciels ne prendront pas en charge l’OID qui est répertorié dans l’atténuation de Cisco. Si l’OID n’est pas valide pour une gestion spécifique, alors il n’est pas affecté par cette vulnérabilité.
L’avis de Cisco fait partie de la publication de septembre 2025 de la publication regroupée de la sécurité des logiciels Cisco IOS et iOS XE. Pour une liste complète des conseils et des liens vers eux, voir Response de l’événement Cisco: Septembre 2025 Publication semestrielle semestrielle Cisco IOS et IOS XE Software Security.
