Cisco hat eine kritische Zero-Day-Schwachstelle in seiner weit verbreiteten IOS- und IOS-XE-Software offengelegt. Die Lücke mit der Kennung CVE-2025-20352 wird bereits aktiv für Angriffe ausgenutzt und ermöglicht Angreifern unter bestimmten Umständen die vollständige Übernahme von Netzwerkgeräten.
Die Sicherheitslücke befindet sich im Simple Network Management Protocol (SNMP), einem Standardprotokoll zur Überwachung und Verwaltung von Netzwerkgeräten. Cisco hat bereits Sicherheitsupdates veröffentlicht und empfiehlt Administratoren dringend, ihre Systeme zu aktualisieren.
Das Wichtigste in Kürze
- Eine neue Zero-Day-Schwachstelle (CVE-2025-20352) betrifft die Cisco-Software IOS und IOS XE.
- Angreifer nutzen die Lücke bereits aktiv aus, um Angriffe durchzuführen.
- Die Schwachstelle ermöglicht Remote Code Execution (RCE) oder einen Denial-of-Service (DoS).
- Alle SNMP-Versionen (v1, v2c, v3) sind betroffen, wenn der Dienst aktiviert ist.
- Cisco hat Patches bereitgestellt und rät zur sofortigen Installation.
Technische Details der Schwachstelle
Die Sicherheitslücke basiert auf einem sogenannten Stack-Overflow-Fehler (CWE-121) innerhalb der SNMP-Komponente der Cisco-Software. Ein Angreifer kann diesen Fehler auslösen, indem er ein speziell präpariertes SNMP-Datenpaket an ein verwundbares Gerät sendet. Dies kann sowohl über IPv4- als auch über IPv6-Netzwerke erfolgen.
Laut der am 24. September 2025 veröffentlichten Sicherheitswarnung von Cisco sind alle drei Versionen des SNMP-Protokolls – v1, v2c und v3 – anfällig. Dies bedeutet, dass eine breite Palette von Konfigurationen potenziell gefährdet ist, sofern SNMP auf dem Gerät aktiviert ist.
Unterschiedliche Auswirkungen je nach Berechtigungsstufe
Die Folgen eines erfolgreichen Angriffs hängen stark von den Berechtigungen des Angreifers ab. Cisco unterscheidet hier zwei Szenarien:
- Angreifer mit niedrigen Rechten: Ein authentifizierter Angreifer, der nur über Lesezugriff verfügt (z.B. über einen SNMPv2c Read-Only Community String), kann einen Neustart des Geräts erzwingen. Dies führt zu einem Denial-of-Service (DoS), der die Netzwerkverfügbarkeit beeinträchtigt.
- Angreifer mit hohen Rechten: Besitzt der Angreifer administrative Anmeldedaten (Privilege Level 15), kann er beliebigen Code auf Geräten mit IOS XE ausführen. Dies geschieht mit Root-Rechten und gibt dem Angreifer die vollständige Kontrolle über das System.
Was ist ein Zero-Day-Exploit?
Ein „Zero-Day-Exploit“ bezeichnet einen Angriff, der eine bisher unbekannte Sicherheitslücke ausnutzt. Der Name leitet sich davon ab, dass die Entwickler „null Tage“ Zeit hatten, einen Patch zu entwickeln, bevor die Lücke öffentlich bekannt oder aktiv ausgenutzt wurde. Solche Angriffe sind besonders gefährlich, da es anfangs keinen Schutz gibt.
Aktive Ausnutzung und betroffene Geräte
Das Product Security Incident Response Team (PSIRT) von Cisco hat bestätigt, dass die Schwachstelle CVE-2025-20352 bereits gezielt ausgenutzt wird. Die bisher beobachteten Angriffe waren Teil einer Angriffskette. Die Täter verschafften sich zunächst Zugriff auf lokale Administrator-Anmeldedaten und nutzten anschließend die SNMP-Lücke, um ihre Kontrolle über das Netzwerk auszuweiten.
Diese Vorgehensweise unterstreicht die Wichtigkeit von starkem Passwortmanagement und der Absicherung von administrativen Zugängen als grundlegende Sicherheitsmaßnahme.
Betroffene Produktreihen
Obwohl potenziell jedes Gerät mit anfälliger IOS- oder IOS-XE-Software und aktiviertem SNMP betroffen ist, nannte Cisco explizit die folgenden Produkte:
- Meraki MS390 Switches
- Cisco Catalyst 9300 Series Switches
Administratoren können mit dem Befehl show running-config | include snmp-server in der Kommandozeile ihres Geräts prüfen, ob SNMP aktiviert ist. Ist der Dienst aktiv und die Software nicht auf dem neuesten Stand, besteht ein Risiko.
Empfohlene Maßnahmen und Gegenstrategien
Cisco hat Software-Updates bereitgestellt, um die Schwachstelle zu beheben. Das Unternehmen fordert alle Kunden dringend auf, ihre Systeme auf eine gepatchte Version zu aktualisieren. Dies ist die einzige Möglichkeit, das Problem vollständig zu beheben. Informationen zu den passenden Updates finden sich im offiziellen Cisco Security Advisory mit der Kennung cisco-sa-snmp-x4LPhte.
„Cisco hat Software-Updates veröffentlicht, die diese Schwachstelle beheben. Es gibt keine Workarounds, die diese Schwachstelle beseitigen.“ – Offizielle Mitteilung von Cisco
Für Unternehmen, die die Updates nicht sofort installieren können, gibt es eine temporäre Eindämmungsmaßnahme. Administratoren können eine sogenannte SNMP-View konfigurieren, die den Zugriff auf die betroffenen Object IDs (OIDs) blockiert. Dadurch wird der fehlerhafte Code-Pfad nicht mehr ausgeführt.
Einschränkungen bei der Eindämmung
Cisco warnt jedoch, dass diese Methode die Funktionalität von Netzwerkmanagement-Tools beeinträchtigen kann. Funktionen wie die automatische Geräteerkennung oder die Überwachung der Hardware-Inventur könnten dadurch gestört werden. Diese Maßnahme sollte daher nur als vorübergehende Lösung betrachtet werden, bis die finalen Updates installiert werden können.
Als zusätzliche Sicherheitsmaßnahme empfiehlt Cisco generell, den Zugriff auf den SNMP-Dienst auf ein Minimum zu beschränken und nur vertrauenswürdigen Benutzern und Systemen den Zugang zu erlauben. Dies reduziert die Angriffsfläche und erschwert unbefugte Zugriffsversuche.
