Критичная уязвимость Cisco: атакующие могут получить root-доступ через SNMP
Уязвимость CVE-2025-20352 в операционных системах Cisco IOS и IOS XE позволяет злоумышленникам с низкими привилегиями вызвать сбой системы, а с высокими — получить выполнение произвольного кода с правами root через переполнение стека в компоненте, отвечающем за обработку SNMP. Уязвимость оценивается в 7.7 из 10, и Cisco рекомендует обновить ПО или ограничить доступ к SNMP как временную меру.
По данным Cisco, уязвимость под названием CVE-2025-20352 затронула все поддерживаемые версии операционных систем Cisco IOS и Cisco IOS XE, используемых для работы широкого спектра сетевых устройств. Уязвимость позволяет злоумышленникам с низкими привилегиями вызвать сбой системы, а с более высокими — получить выполнение произвольного кода с правами root. Уровень критичности уязвимости оценивается в 7.7 из 10.
Угроза через протокол SNMP
Уязвимость возникла из-за переполнения стека в компоненте, отвечающем за обработку SNMP (Simple Network Management Protocol). Протокол SNMP используется для управления и сбора информации о сетевых устройствах. Атакующий может использовать специально сформированные пакеты SNMP для активации уязвимости.
Для выполнения вредоносного кода злоумышленнику требуется доступ к строке read-only community, представляющей собой форму аутентификации для SNMP. Такие строки часто поставляются с устройствами, а даже после изменения могут быть известны внутри организации. В дополнение, атакующему необходимы привилегии на целевом устройстве.
Масштабы угрозы и рекомендации
Исследователь Кевин Бьюмонт отметил, что получение RCE с правами root — это серьезная угроза, поскольку такие привилегии обычно недоступны даже администраторам. Для организации отказа в обслуживании (DoS) злоумышленнику достаточно только строки read-only community или действительных учетных данных SNMPv3.
По данным поискового инструмента Shodan, более двух миллионов устройств в мире имеют доступ к SNMP через интернет-интерфейсы. Это делает их уязвимыми к атакам. Cisco рекомендует обновить программное обеспечение до исправленной версии. Альтернативой для тех, кто не может сразу обновиться, является ограничение доступа к SNMP только доверенным пользователям и использование команды snmp в терминале для мониторинга устройств.
Контекст: сентябрьский патч от Cisco
Уязвимость CVE-2025-20352 входит в число 14 исправленных уязвимостей в сентябрьском обновлении Cisco. Из них восемь имеют уровень критичности от 6.7 до 8.8. Это подчеркивает масштабную работу компании по защите своей экосистемы от потенциальных угроз.
Интересно: Каковы риски для российских компаний, эксплуатирующих Cisco-устройства? Стоит ли рассматривать этот случай как сигнал к пересмотру политики управления доступом в сетях?
Уязвимость Cisco: зачем атаковать SNMP, и как это влияет на российские корпоративные сети
Уязвимость в протоколе SNMP, объявленная Cisco, не кажется на первый взгляд критичной. Однако стоит взглянуть на нее шире — и тогда становится ясно, что речь идет не просто о баге, а о системном уязвимом звене, которое может быть использовано для масштабных атак, включая кибертерроризм и шпионаж. Особенно это актуально для российских компаний, где Cisco-устройства остаются востребованными.
Проблема в деталях: почему SNMP — это риск
SNMP используется для мониторинга и управления сетевыми устройствами. Он не является центром внимания кибербезопасности, как, например, HTTP или SSH, и потому часто остается вне поля зрения администраторов. Это делает его идеальной мишенью для атак.
Ключевой момент: уязвимость CVE-2025-20352 позволяет злоумышленникам с низкими привилегиями вызвать сбой системы, а при наличии более высоких прав — получить выполнение произвольного кода с привилегиями root. Это означает, что даже простой доступ к SNMP-интерфейсу может стать воротом в систему.
Проблема усугубляется тем, что SNMP-строки часто остаются по умолчанию или недостаточно защищены. Многие организации меняют их, но не меняют подход к их защите. А это открывает дверь для внутренних угроз — например, недовольного сотрудника или атакующего, получившего доступ через компрометированный аккаунт.
Системный риск: масштабы и последствия
По данным Shodan, более двух миллионов устройств в мире используют SNMP-интерфейсы, доступные через интернет. Это означает, что уязвимость может быть использована в атаках на глобальном уровне. В России, где Cisco-устройства активно используются в телекоммуникациях, энергетике и финансах, это создает серьезный риск.
Особенно критично, что уязвимость позволяет получить RCE (Remote Code Execution) с привилегиями root. Это означает, что атакующий может полностью контролировать устройство, перехватывать данные, настраивать перенаправления трафика, а в случае с коммутирующими устройствами — даже создавать атаки типа MITM (Man-in-the-Middle).
Ключевая идея: уязвимость в SNMP — это не просто баг, а системная проблема, связанная с устаревшими протоколами и недостаточной их защите. Это требует пересмотра политики управления доступом в сетях, особенно в организациях, где критически важны стабильность и безопасность.
Долгосрочные последствия и рекомендации
Событие в сентябрьском патче Cisco — это не единичный случай. В обновлении было исправлено 14 уязвимостей, что говорит о системном подходе к безопасности. Однако для российских компаний важно не просто обновлять ПО, а пересмотреть подходы к аудиту сетей.
Рекомендации:
- Ограничить доступ к SNMP-интерфейсам только доверенным IP-адресами.
- Использовать SNMPv3, который поддерживает аутентификацию и шифрование.
- Регулярно аудировать список пользователей и привилегий.
- Проводить тестирование на проникновение (penetration testing), включая SNMP-интерфейсы.
Главный вывод: уязвимость в SNMP — это не просто техническая проблема. Это сигнал о том, что даже «второстепенные» протоколы требуют такого же уровня внимания, как и основные сервисы. В условиях растущей угрозы кибератак это может стать разницей между устойчивостью и катастрофой.
