Cisco IOS/IOS XE CVE-2025-20352 — открытый SNMP ≠ «всё ок»

СКИПА фиксирует >30 000 устройств с SNMP v1/v2c в Рунете. Из них ≈1 700 выглядят потенциально уязвимыми к CVE-2025-20352.

Об уязвимости

CVE-2025-20352 — переполнение стека в подсистеме SNMP Cisco IOS/IOS XE. Нужны валидные SNMP-учётные данные:

• при низких правах возможен DoS (перезагрузка);

• на IOS XE при повышенных правах — RCE через специально сформированные SNMP-пакеты.

• уязвимость 0-day, т.е. уже используется злоумышленниками.

Что это значит по данным СКИПА

• Много устройств всё ещё отвечают по v1/v2c и/или на дефолтные сообщества public/private.

• ≈1 700 — версии и платформы, требующие проверки в Cisco Software Checker; наличие фикса зависит от релизной ветки (train) и конкретной платформы.

Признаки в логах/метриках

• Всплески SNMP auth failure, noSuchName, аномально частые запросы.

• Падение sysUpTime, повторные перезагрузки, записи в crashinfo.

• Нетипичные источники трафика UDP/161.

Рекомендации

1. Ограничить SNMP по ACL/CoPP (только менеджмент-хосты).

2. По возможности отключить v1/v2c, перейти на SNMPv3 (authPriv); сменить сообщества, если вынуждены оставить v1/2.

3. Обновить IOS/IOS XE до исправленных билдов по результатам Cisco Software Checker.

4. Мониторить sysDescr/sysUpTime и аномалии по UDP/161.

Быстрый самоаудит

Эксперты СайберОК опубликовали скрипт для экспресс-проверки.

О скрипте: быстрая и безопасная оценка экспозиции устройств Cisco IOS/IOS XE, связанная с CVE-2025-20352 (подсистема SNMP).

Сканируем подсети на SNMP через onesixtyone с дефолтными сообществами. Парсим баннеры sysDescr.0 Python-скриптом: помечаем Cisco IOS/IOS XE и проставляем статус Fixed (если в белом списке) или Potentially Vulnerable (проверить в Cisco Software Checker).

Проект не эксплуатирует уязвимость. Он лишь определяет устройства, отвечающие на дефолтные SNMP-сообщества, и извлекает версию из sysDescr.0.