Cisco onthulde een ernstig beveiligingslek in IOS en IOS XE software dat zowel een denial of service als remote code execution mogelijk maakt via het Simple Network Management Protocol, kortweg SNMP.
Het gaat om een actief misbruikt zero-day-lek. Het staat geregistreerd als CVE-2025-20352. Het lek heeft een CVSS-score van 7,7.
De kwetsbaarheid ontstaat door een stack overflow in het SNMP-subsysteem. Een aanvaller die beschikt over geldige SNMP-inloggegevens kan via speciaal geconstrueerde pakketten de werking van een getroffen apparaat verstoren of zelfs volledige controle verkrijgen. Bij lage rechten kan het systeem worden herstart. Dit leidt tot een denial of service. Met hogere rechten kan willekeurige code als root worden uitgevoerd. Dan zijn volledige beheersrechten beschikbaar en kunnen aanvallers de infrastructuur volledig overnemen.
Twee miljoen kwetsbare apparaten
Onderzoek met de zoekmachine Shodan toont dat wereldwijd mogelijk zo’n twee miljoen Cisco-apparaten kwetsbaar zijn, omdat hun SNMP-interfaces direct aan het internet blootstaan. Dat aantal maakt duidelijk dat de potentiële impact zeer groot is, zeker gezien de rol van Cisco-apparatuur in bedrijfsnetwerken en kritieke infrastructuur. Cisco bevestigt bovendien dat de kwetsbaarheid al actief wordt misbruikt, nadat aanvallers toegang kregen tot gecompromitteerde beheerdersaccounts.
Het probleem treft alle apparaten die Cisco IOS of IOS XE draaien en SNMP hebben ingeschakeld zonder de getroffen object ID’s expliciet uit te sluiten. Ook Meraki MS390 en Cisco Catalyst 9300 switches met Meraki CS 17 of ouder zijn vatbaar. Voor deze categorie is de fout opgelost in IOS XE release 17.15.4a.
Geen werkbare workarounds
Cisco benadrukt dat er geen werkbare workarounds zijn. Er is wel een mitigatie waarbij specifieke OID’s kunnen worden uitgesloten, maar die kan de SNMP-functionaliteit verstoren. De enige structurele oplossing is het installeren van de door Cisco uitgebrachte patches.
De kwetsbaarheid maakt deel uit van een bredere septemberupdate waarin Cisco veertien beveiligingslekken heeft gedicht. Acht daarvan kregen een hoge CVSS-score. Organisaties worden dringend geadviseerd hun apparaten te upgraden en SNMP-toegang zoveel mogelijk te beperken tot vertrouwde gebruikers.
Door de combinatie van actieve exploitatie, de enorme schaal van blootgestelde systemen en het gebrek aan eenvoudige workarounds geldt dit lek momenteel als een van de meest urgente bedreigingen voor Cisco-omgevingen.