Cisco cảnh báo lỗ hổng SNMP cho phép thực hiện tấn công RCE hoặc DoS trong IOS

[Starlink]

Cisco đã cảnh báo về một lỗ hổng bảo mật nghiêm trọng trong Phần mềm IOS và Phần mềm IOS XE có thể cho phép kẻ tấn công từ xa thực thi mã tùy ý hoặc kích hoạt tình trạng từ chối dịch vụ (DoS) trong những trường hợp cụ thể.

Công ty cho biết lỗ hổng bảo mật CVE-2025-20352 (điểm CVSS: 7,7) đã bị khai thác trong thực tế, đồng thời cho biết thêm rằng họ phát hiện ra lỗ hổng này "sau khi thông tin đăng nhập của Quản trị viên cục bộ bị xâm phạm".

Theo chuyên ngành thiết bị mạng, vấn đề này bắt nguồn từ hệ thống con Giao thức quản lý mạng đơn giản (SNMP), phát sinh do tình trạng tràn ngăn xếp.

Kẻ tấn công từ xa đã được xác thực có thể khai thác lỗ hổng bằng cách gửi gói SNMP được tạo sẵn đến thiết bị bị ảnh hưởng qua mạng IPv4 hoặc IPv6, dẫn đến DoS nếu chúng có đặc quyền thấp hoặc thực thi mã tùy ý với tư cách root nếu chúng có đặc quyền cao và cuối cùng là kiểm soát hệ thống dễ bị tấn công.

Tuy nhiên, Cisco lưu ý rằng để điều này xảy ra, các điều kiện sau đây cần phải được đáp ứng:

    Để gây ra DoS, kẻ tấn công phải có chuỗi cộng đồng chỉ đọc SNMPv2c hoặc phiên bản cũ hơn hoặc thông tin xác thực người dùng SNMPv3 hợp lệ
    Để thực thi mã với tư cách là người dùng root, kẻ tấn công phải có chuỗi cộng đồng chỉ đọc SNMPv1 hoặc v2c hoặc thông tin xác thực người dùng SNMPv3 hợp lệ và thông tin xác thực quản trị hoặc đặc quyền 15 trên thiết bị bị ảnh hưởng

Công ty cho biết sự cố này ảnh hưởng đến tất cả các phiên bản SNMP, cũng như các thiết bị chuyển mạch Meraki MS390 và Cisco Catalyst 9300 Series đang chạy Meraki CS 17 trở về trước. Sự cố đã được khắc phục trong Bản phát hành phần mềm Cisco IOS XE 17.15.4a. Phần mềm Cisco IOS XR và Phần mềm NX-OS không bị ảnh hưởng.

Cisco cho biết: "Lỗ hổng bảo mật này ảnh hưởng đến tất cả các phiên bản SNMP. Tất cả các thiết bị đã bật SNMP và chưa loại trừ rõ ràng ID đối tượng (OID) bị ảnh hưởng đều được coi là dễ bị tấn công".

Mặc dù không có giải pháp thay thế nào để giải quyết CVE-2025-20352, Cisco đề xuất một biện pháp giảm thiểu bao gồm việc chỉ cho phép những người dùng đáng tin cậy có quyền truy cập SNMP trên hệ thống bị ảnh hưởng và giám sát hệ thống bằng cách chạy lệnh "show snmp host".

"Quản trị viên có thể vô hiệu hóa các OID bị ảnh hưởng trên thiết bị", công ty cho biết thêm. "Không phải tất cả phần mềm đều hỗ trợ OID được liệt kê trong bản vá. Nếu OID không hợp lệ với phần mềm cụ thể, thì phần mềm đó sẽ không bị ảnh hưởng bởi lỗ hổng này. Việc loại trừ các OID này có thể ảnh hưởng đến việc quản lý thiết bị thông qua SNMP, chẳng hạn như phát hiện và kiểm kê phần cứng."