A Cisco szeptember 25-én sürgősségi biztonsági frissítéseket adott ki, amelyek 14 különböző sebezhetőséget érintenek a vállalat hálózati termékeiben. A javítások között szerepel egy aktívan kihasznált Zero-Day hiba (CVE-2025-20352), amely érinti az IOS és IOS XE Software platformokat, valamint bizonyos Catalyst és Meraki eszközöket.
Mivel a sérülékenységet már valós támadások során is kihasználják, a Cisco azonnali frissítést javasol minden érintett szervezetnek.
A kritikus Zero-Day: CVE-2025-20352
Ez a hiba a Simple Network Management Protocol (SNMP) alrendszerben található, és az alábbi támadási lehetőségeket biztosítja:
- Alacsony jogosultságú támadó: DoS támadást indíthat, amely újraindítja az eszközt.
- Magas jogosultságú támadó: távoli kódfuttatást hajthat végre root jogosultsággal, így teljes irányítást szerezhet az eszköz felett.
A sérülékenység oka egy stack overflow hiba, amelyet speciálisan kialakított SNMP csomagok váltanak ki IPv4 vagy IPv6 hálózaton keresztül.
Érintettek:
- Cisco IOS és IOS XE minden verziója
- Meraki MS390 és Cisco Catalyst 9300 sorozat, ha Meraki CS 17 vagy korábbi verziót futtatnak
Cisco közlése szerint nincs olyan workaround, amely teljes védelmet adna, csak a hivatalos frissítések telepítése nyújt teljes körű megoldást.
Aktív támadások a vadonban
A Cisco PSIRT megerősítette, hogy a hibát már aktívan kihasználják támadók. A támadások során kompromittált adminisztrátori hitelesítő adatok segítségével kerülik meg az autentikációs ellenőrzéseket, majd SNMP-n keresztül indítanak támadást.
Ez azt jelenti, hogy minden nem frissített IOS/IOS XE környezet közvetlen célpont lehet.
További magas kockázatú sebezhetőségek
A mostani frissítés további 13 biztonsági hibát orvosol, köztük több High súlyosságú sérülékenységet.
CVE-2025-20334 (CVSS 8.8) – HTTP API Command Injection
Lehetővé teszi root szintű parancsok befecskendezését hibásan validált API hívásokon keresztül.
CVE-2025-20315 (CVSS 8.6) – NBAR DoS
A Network-Based Application Recognition (NBAR) modul hibája miatt DoS támadás indítható rosszindulatú CAPWAP csomagokkal.
CVE-2025-20160 (CVSS 8.1) – TACACS+ Authentication Bypass
Lehetővé teszi a hitelesítés megkerülését vagy érzékeny adatok megszerzését hibásan konfigurált TACACS+ protokoll miatt.
CVE-2025-20327 (CVSS 7.7) – Industrial Ethernet Switch DoS
Alacsony jogosultságú támadó DoS-t idézhet elő egy manipulált URL segítségével.
CVE-2025-20312 (CVSS 7.7) – SNMP DoS
Speciális SNMP kérés újraindíthatja az eszközt. Érintett az SNMPv1, v2c és v3 is.
CVE-2025-20311 (CVSS 7.4) – Catalyst 9000 DoS
Speciálisan kialakított Ethernet frame blokkolhatja a kimeneti portokat, DoS állapotot okozva.
CVE-2025-20313 & CVE-2025-20314 (CVSS 6.7) – Secure Boot Bypass
Lehetővé teszi tartós kód végrehajtását boot során, megszakítva a biztonsági láncot.
Közepes kockázatú hibák
CVE-2025-20149 (CVSS 6.5) – CLI DoS
Helyi támadó puffer túlcsordítással újraindíthatja az eszközt.
CVE-2025-20240 (CVSS 6.1) – Reflected XSS
Nem hitelesített támadó XSS támadást hajthat végre a webes felületen keresztül.
CVE-2025-20338 (CVSS 6.0) – CLI Argument Injection
Adminisztrátori jogosultságú támadó root parancsokat futtathat.
CVE-2025-20293 (CVSS 5.3) – Certificate Enrollment Service Access
Nem hitelesített támadó SCEP kérések küldésével hozzáférhet a tanúsítvány-infrastruktúrához Catalyst 9800-CL vezérlőkön.
CVE-2025-20316 (CVSS 5.3) – ACL Bypass
Speciális forgalom segítségével megkerülhetők az ACL-ek Catalyst 9500X és 9600X switch-eken.
Mit tehetnek az adminisztrátorok?
- Azonnal frissítsenek a Cisco által kiadott legújabb IOS és IOS XE verziókra.
- Ha a frissítés azonnal nem lehetséges:
- SNMP elérés korlátozása megbízható IP-kre
- Hálózati szegmentáció és ACL-ek alkalmazása
- Rendszeres logelemzés és gyanús SNMP aktivitás monitorozása.
Cisco hangsúlyozza, hogy a patch telepítése az egyetlen teljes körű védelem.
📖 Hivatalos Cisco biztonsági közlemény: Cisco Security Advisory
