CVE-2025-20352: Zero-Day crítico en Cisco IOS e IOS XE (SNMP)
Admin
September 29, 2025
Translate to:
Severidad: Alta (CVSS 7.7)
Fecha de aviso: 24 de septiembre de 2025
Estado: Explotación activa (“in the wild”) confirmada
Productos afectados: Cisco IOS e IOS XE (todas las versiones con SNMP habilitado), incluyendo switches Catalyst 9300 y Meraki MS390 (CS 17 o inferior).
Fecha de aviso: 24 de septiembre de 2025
Estado: Explotación activa (“in the wild”) confirmada
Productos afectados: Cisco IOS e IOS XE (todas las versiones con SNMP habilitado), incluyendo switches Catalyst 9300 y Meraki MS390 (CS 17 o inferior).
Descripción técnica
- El fallo reside en un desbordamiento de búfer en la pila (stack overflow) dentro del subsistema SNMP (Simple Network Management Protocol) de Cisco IOS e IOS XE.
- Permite a un atacante remoto autenticado enviar paquetes SNMP específicamente diseñados a través de IPv4 o IPv6 y desencadenar un DoS (denegación de servicio) o, en el peor de los casos, ejecución remota de código (RCE) con privilegios de root en el dispositivo.
- Para provocar un DoS, basta con conocer la cadena de comunidad SNMP v2c (o anterior) o tener credenciales válidas de SNMPv3 (usuario estándar).
- Para alcanzar RCE y control total del dispositivo, se requiere SNMP v1/v2c y credenciales administrativas o de privilegio 15 en el dispositivo.
- El vector afecta a todas las versiones de SNMP y sólo quedan inmunes los dispositivos que han desactivado SNMP o excluido el OID vulnerable.
Impacto
- Explotación real en ataques donde los atacantes obtuvieron credenciales administrativas y ejecutaron código raíz en switches, routers y plataformas industriales/dispositivos IoT.
- Puede provocar caída del sistema (DoS), pérdida de disponibilidad de red, acceso persistente al dispositivo y movimiento lateral dentro de la infraestructura.
- Potencial para exfiltración de información, control y manipulación de tráfico de red, carga de malware y alteración de configuraciones.
Detección y mitigación
- Actualizar IOS/IOS XE a la versión corregida (17.15.4a o superior para Catalyst/Meraki; consultar Cisco Security Advisory para otras versiones).
- Limitar el acceso SNMP exclusivamente a usuarios y redes de confianza, usando filtros ACL y buenas prácticas de segmentación.
- Revisar logs de SNMP y monitorizar accesos anómalos, especialmente tras detectarse credenciales comprometidas.
- Comprobar si hay artefactos de compromiso previos al parche según recomendaciones de CISA y Cisco (para preservar evidencias antes de actualizar).
- Deshabilitar SNMP temporalmente donde no sea imprescindible hasta poder actualizar (puede afectar a servicios de monitoreo/automatización).
Resumen técnico
| CVE | CVE-2025-20352 |
|---|---|
| Categoría | Stack overflow en SNMP (RCE/DoS autenticado) |
| Vector | Paquetes SNMP manipulados, IPv4/IPv6, requiere cadena de comunidad válida o credenciales admin (priv15) |
| Impacto potencial | DoS, ejecución remota como root, control persistente, movimiento lateral |
| Productos afectados | Cisco IOS, IOS XE (core routers/switches, Meraki, Catalyst 9300...) |
| Mitigación | Actualizar a versión corregida, filtrar SNMP, deshabilitar o segmentar acceso |
| Recomendación de seguridad | Actualizar urgentemente y auditar acceso SNMP, recolectar evidencia forense antes del parcheo para investigar signos de explotación |
Recomendación urgente:
Parchea dispositivos afectados tan pronto como sea posible.
Limita el acceso SNMP solo a hosts seguros y sigue las guías de Cisco/CISA sobre recolección de artefactos antes de actualizar, para preservar evidencias de posibles compromisos.
Parchea dispositivos afectados tan pronto como sea posible.
Limita el acceso SNMP solo a hosts seguros y sigue las guías de Cisco/CISA sobre recolección de artefactos antes de actualizar, para preservar evidencias de posibles compromisos.
Comments (0)
No comments yet. Be the first to comment!