Een kwetsbaarheid in Cisco IOS en IOS XE laat aanvallers toe om netwerkapparatuur op afstand uit te schakelen of volledig over te nemen. Hackers maken al actief misbruik van de bug. Er zijn geen werkende tijdelijke oplossingen, maar Cisco heeft wel beveiligingsupdates uitgebracht.
Cisco meldt een ernstige beveiligingsfout in de SNMP-functionaliteit (Simple Network Management Protocol) van apparaten die draaien op IOS of IOS XE. De kwetsbaarheid maakt het mogelijk voor aanvallers met geldige toegangsgegevens om een Denial of Service (DoS) te veroorzaken of zelfs de volledige controle over het apparaat te krijgen, ook met lage privileges.
Van DoS tot volledige overname
Een DoS-aanval vereist beperkte toegangsrechten. In dat geval kan de aanvaller het apparaat doen herstarten en zo de netwerkdienst verstoren. Wie daarentegen over beheerdersrechten beschikt, kan eigen code uitvoeren met rootrechten (volledige toegang tot het systeem). Aanvallers moeten hiervoor een aangepast SNMP-pakket sturen via een IPv4- of IPv6-verbinding.
lees ook
Cisco patcht kritieke kwetsbaarheid in zijn Secure Firewall Management Center
Volgens Cisco is de fout te wijten aan een stack overflow in de SNMP-component van het besturingssysteem. Alle SNMP-versies (v1, v2c en v3) zijn vatbaar. Cisco ontdekte de fout tijdens het behandelen van een supportgeval. Na inbraak met beheerdersreferenties bleek de kwetsbaarheid misbruikt.
Actief misbruik
Cisco constateerde zo meteen actief wordt misbruik in het wild. Het bedrijf raadt klanten sterk aan om hun systemen te updaten naar een gepatchte versie. Er zijn geen workarounds beschikbaar, al zijn er wel mitigerende maatregelen mogelijk, zoals het beperken van SNMP-toegang tot vertrouwde gebruikers en het uitsluiten van bepaalde OIDs.
De kwetsbaarheid is geregistreerd onder CVE-2025-20352 en heeft een CVSS-score van 7.7. De fout betreft een klassieke buffer overflow. Een slordige 2 miljoen Cisco-toestellen hebben SNMP beschikbaar staan via het internet en zijn dus mogelijk kwetsbaar.
Controlleren en updaten
Getroffen zijn Cisco IOS en IOS XE in verschillende versies. Ook specifieke modellen zoals de Meraki MS390 en Cisco Catalyst 9300-series met Meraki CS 17 of lager zijn kwetsbaar. IOS XR en NX-OS zijn niet getroffen.
Beheerders kunnen controleren of SNMP actief is via de CLI-commando’s show running-config | include snmp-server community (voor SNMPv1/v2c) en show snmp user (voor SNMPv3).
Cisco biedt mitigerende configuraties aan die het gebruik van kwetsbare OIDs blokkeren, al kan dit de werking van SNMP-functies beïnvloeden. Voor structurele bescherming raadt Cisco een upgrade aan naar een versie waarin de fout is opgelost. Controleren of een systeem kwetsbaar is, kan met de Cisco Software Checker.