通过SNMP协议在思科设备上可能发起的DoS或RCE攻击

标签： Cisco, cve, rce, snmp

就在不久前，我们刚警告过Cisco ASA中活跃的CVE-2025-20362和CVE-2025-20333漏洞。现在，思科公司又通报了一个通过SNMP协议可在其生产的设备上引发DoS或RCE的漏洞。该漏洞被标识为CVE-2025-20352，CVSS评分高达7.7。

TLDR：

• 通过SNMP在思科设备上可能发起DoS或RCE攻击
• 该漏洞已被主动利用
• 请检查您设备上软件的更新情况

攻击者如果通过任何版本的SNMP协议获得访问权限，无论是使用SNMP v1和v2c的只读community字符串，还是使用SNMP v3的认证凭据，都能够通过触发设备重载导致设备拒绝服务。

如果攻击者进一步获取了管理员账户或具有特权级别15权限的凭据，则将能够以root用户身份执行代码，从而完全控制设备。

该漏洞影响运行Cisco IOS和Cisco IOS XE软件的设备。Meraki MS390以及运行Meraki CS 17及更早版本系统的Cisco Catalyst 9300系列交换机也受影响。对于这些设备，漏洞已在Cisco IOS XE 17.15.4a中修复。

也可以通过禁用对SNMP中敏感OID的访问来缓解此威胁。详细信息可在厂商的公告中找到，但厂商建议验证此类解决方案在您自身网络中的适用性。

我们鼓励您尽快验证您网络中的设备是否受此漏洞影响，因为思科公司警告称，该漏洞已被主动利用。

我们在此提醒，应使用强密码保护设备，关闭设备中冗余或未使用的功能，并尽可能将设备访问限制在可信网络内。当然，还包括定期更新网络设备上的软件。