Компанія Cisco випустила термінові патчі для критичної уразливості CVE-2025-20352 у підсистемі SNMP своїх ОС IOS та IOS XE. Вразливість уже активно використовують зловмисники для атак на мережеві пристрої. Уразливість пов’язана з переповненням буфера у підсистемі SNMP. Вона дозволяє віддаленим атакувальникам із мінімальними привілеями створювати DoS-атаки на незахищених пристроях. А хакери з вищими правами можуть отримати повний контроль над системою, виконуючи код із правами root.
Cisco пояснила, що атаку можна реалізувати через спеціально сформований SNMP-пакет, надісланий по IPv4 чи IPv6. Експлуатація вже була зафіксована після компрометації локальних облікових записів адміністраторів.
Наразі обхідних рішень не існує — компанія настійно рекомендує оновити IOS та IOS XE до версій із виправленнями. Якщо апдейт неможливий, тимчасовим заходом може бути обмеження доступу SNMP лише для довірених користувачів.
Разом із цим Cisco виправила ще 13 вразливостей, серед яких:
CVE–2025–20240 — XSS у IOS XE, що дозволяє крадіжку cookies;
CVE-2025-20149 — локальний DoS через перезавантаження пристрою.
Це не перший критичний інцидент у Cisco цього року. У травні компанія вже закривала вразливість у контролерах бездротових мереж (WLC), яка дозволяла захоплення пристроїв через hard-coded токени JWT.
Нинішня проблема з SNMP підкреслює стару й відому істину: застарілі протоколи адміністрування стають слабкою ланкою корпоративної безпеки.
PSIRT Cisco також нагадав, що своєчасне встановлення оновлень має бути обов’язковим елементом кіберзахисту, адже більшість атак спрямовані саме на вже відомі уразливості. Zero-day у IOS та IOS XE — це серйозний виклик для організацій, які залежать від мережевої інфраструктури Cisco. Зволікання з оновленням може призвести до відмови сервісів або повного компрометації системи.
