Cisco IOS/IOS XE CVE-2025-20352 — открытый SNMP ≠ «всё ок»
СКИПА фиксирует >30 000 устройств с SNMP v1/v2c в Рунете. Из них ≈1 700 выглядят потенциально уязвимыми к CVE-2025-20352.
Об уязвимости
CVE-2025-20352 — переполнение стека в подсистеме SNMP Cisco IOS/IOS XE. Нужны валидные SNMP-учётные данные:
при низких правах возможен DoS (перезагрузка);
на IOS XE при повышенных правах — RCE через специально сформированные SNMP-пакеты.
уязвимость 0-day, т.е. уже используется злоумышленниками.
Что это значит по данным СКИПА
Много устройств всё ещё отвечают по v1/v2c и/или на дефолтные сообщества
public/private.≈1 700 — версии и платформы, требующие проверки в Cisco Software Checker; наличие фикса зависит от релизной ветки (train) и конкретной платформы.
Признаки в логах/метриках
Всплески
SNMP auth failure,noSuchName, аномально частые запросы.Падение
sysUpTime, повторные перезагрузки, записи вcrashinfo.Нетипичные источники трафика UDP/161.
Рекомендации
Ограничить SNMP по ACL/CoPP (только менеджмент-хосты).
По возможности отключить v1/v2c, перейти на SNMPv3 (authPriv); сменить сообщества, если вынуждены оставить v1/2.
Обновить IOS/IOS XE до исправленных билдов по результатам Cisco Software Checker.
Мониторить
sysDescr/sysUpTimeи аномалии по UDP/161.
Быстрый самоаудит
Эксперты СайберОК опубликовали скрипт для экспресс-проверки.
О скрипте: быстрая и безопасная оценка экспозиции устройств Cisco IOS/IOS XE, связанная с CVE-2025-20352 (подсистема SNMP).
Сканируем подсети на SNMP через onesixtyone с дефолтными сообществами. Парсим баннеры sysDescr.0 Python-скриптом: помечаем Cisco IOS/IOS XE и проставляем статус Fixed (если в белом списке) или Potentially Vulnerable (проверить в Cisco Software Checker).
Проект не эксплуатирует уязвимость. Он лишь определяет устройства, отвечающие на дефолтные SNMP-сообщества, и извлекает версию из sysDescr.0.
