思科管理员需紧急修补IOS和IOS XE设备

网络安全专家敦促网络管理员尽快修补思科系统IOS和IOS XE软件中的漏洞，以消除软件简单网络管理协议（SNMP）子系统中的堆栈溢出条件，否则可能面临严重攻击。

“我不会延迟修补，”加拿大安全意识公司Beauceron Security负责人David Shipley表示，“随着思科发布漏洞警告，攻击者很可能在几小时内就借助AI工具制作出概念验证漏洞利用程序。延迟修补风险自负。”

漏洞详情（CVE-2025-20352）

该漏洞可实现以下攻击：

要发起DoS攻击，攻击者必须拥有SNMPv2c或更早版本的只读社区字符串，或有效的SNMPv3用户凭据。

要以root用户身份执行代码，攻击者必须拥有SNMPv1或v2c只读社区字符串，或有效的SNMPv3用户凭据，以及在受影响设备上的管理或特权15凭据。

思科产品安全事件响应团队（PSIRT）在本地管理员凭据被泄露后，意识到该漏洞已在野外被成功利用。

“这需要认证用户，所以至少不是未经认证的远程代码执行（RCE），”Shipley说。该漏洞的CVSS评分为7.7，“但还不是我们最近见过最严重的。”

美国事件响应公司Cypfer首席运营官Ed Dubrovsky也指出，成功的攻击者需要进行身份验证。

虽然许多公司仍在SNMP协议级别使用默认凭据，但他表示，执行拒绝服务或RCE需要额外的设备身份验证，这增加了攻击者的复杂性。

他补充说，拥有必要凭据的内部人员利用此漏洞的风险几乎与外部人员相等。实际上，如果外部攻击者拥有所需的身份验证，组织将真正陷入困境。

基于CVE的要求，SNMP和设备都需要多级身份验证，这意味着威胁行为者不是脚本小子，而是更有动力、可能具备更高技术技能的人，然后他们还可以利用该设备访问权限横向移动到高价值系统。

“归根结底，边缘的思科设备可能不包含公司数据，而主要受经济利益驱动的威胁行为者需要数据和系统访问权限来外泄和锁定。当然，APT（高级持续性威胁）和国家行为者构成不同的威胁，但此类环境可能会提供额外的分层防御，以进一步降低此CVE的风险。”

“更大的问题是这个漏洞是否可以被串联使用以获得包含宝贵数据的系统访问权限，”他补充道。“虽然这可能会在后期开发出来，但可能需要不同级别的访问权限，因此由于额外的复杂性，总体风险可能会有所降低。”

此漏洞影响运行思科IOS和IOS XE软件的未修补设备中的所有SNMP版本。

注意：运行Meraki CS 17及更早版本的Meraki MS390和思科Catalyst 9300系列交换机也受到影响。该漏洞在思科IOS XE软件版本17.15.4a中已修复。

运行IOS XR或NX-OS软件的思科设备不受影响。

思科已发布软件更新来修复此错误。无法立即修补的管理员可以通过仅允许受信任用户访问受影响系统上的SNMP来缓解问题。还建议他们使用命令行界面（CLI）中的show SNMP host命令监控受影响系统。

公司在公告中警告：“管理员可以在设备上禁用受影响的OID（对象标识符）。并非所有软件都支持思科缓解措施中列出的OID。如果OID对特定软件无效，则不受此漏洞影响。排除这些OID可能会影响通过SNMP进行的设备管理，例如发现和硬件清单。”

思科的公告是2025年9月思科IOS和IOS XE软件安全公告捆绑发布的一部分。有关公告的完整列表和链接，请参阅《思科事件响应：2025年9月半年度思科IOS和IOS XE软件安全公告捆绑发布》。