思科公司近日披露其广泛使用的IOS和IOS XE软件中存在一个零日漏洞(CVE-2025-20352),并确认该漏洞正遭野外利用。
漏洞技术细节
该漏洞存在于简单网络管理协议(SNMP)子系统中,远程攻击者可利用此漏洞在受影响设备上实现远程代码执行(RCE)或引发拒绝服务(DoS)状态。思科技术援助中心(TAC)在调查支持案例时首次发现该漏洞。
漏洞根源在于思科IOS和IOS XE软件的SNMP子系统中存在栈溢出漏洞(CWE-121)。攻击者通过向受影响设备发送特制的IPv4或IPv6网络SNMP数据包即可触发该漏洞。2025年9月24日发布的公告确认,所有版本的SNMP(v1、v2c和v3)均受影响。
漏洞利用的严重程度取决于攻击者的权限级别:
- 拥有低权限但通过认证的远程攻击者可导致受影响设备重启,造成DoS状态。此攻击需要获取SNMPv2c只读团体字符串或有效的SNMPv3用户凭证。
- 拥有管理员或15级权限的高权限攻击者可在运行IOS XE的设备上以
root用户身份执行任意代码,从而完全控制系统。
野外利用与受影响设备
思科产品安全事件响应团队(PSIRT)已确认该漏洞正遭成功利用。公告指出,攻击者首先获取本地管理员凭证后利用该漏洞,展示了链式攻击手法。这凸显了在打补丁的同时加强凭证管理的迫切性。
该漏洞影响大量运行存在漏洞的IOS和IOS XE软件版本且启用了SNMP的思科设备,具体包括Meraki MS390和思科Catalyst 9300系列交换机等产品。
| 产品 | 受影响版本 | 修复版本 |
|---|---|---|
| 思科IOS & IOS XE软件 | 所有在首个修复版本发布前启用SNMP的版本均存在漏洞 | 客户应使用思科软件检查器确定适合其软件系列的修补版本 |
| Meraki MS390交换机 | Meraki CS 17及更早版本 | 漏洞已在思科IOS XE软件17.15.4a版本中修复 |
| 思科Catalyst 9300系列交换机 | Meraki CS 17及更早版本 | 漏洞已在思科IOS XE软件17.15.4a版本中修复 |
任何启用SNMP的设备均被视为存在漏洞,除非已配置特定规则来阻止恶意流量。管理员可使用show running-config命令检查系统是否启用了SNMP。
修复建议与缓解措施
思科已发布软件更新修复该漏洞,强烈建议所有客户升级至修补版本以彻底解决问题。公告编号cisco-sa-snmp-x4LPhte明确指出目前没有可用的临时解决方案。
对于无法立即应用更新的组织,思科提供了缓解措施:管理员可配置SNMP视图排除受影响的对象标识符(OID),从而阻止触发漏洞代码路径。但思科警告称,此缓解措施可能会影响网络管理功能,如设备发现和硬件库存监控。作为常规安全措施,思科还建议将SNMP访问权限限制为仅限可信用户。