Cisco hat dringende Sicherheitsupdates für eine kritische Schwachstelle in seiner IOS- und IOS-XE-Software veröffentlicht. Die als CVE-2025-20352 identifizierte Lücke wird bereits aktiv für Angriffe ausgenutzt. Betroffen sind alle Geräte, auf denen das Simple Network Management Protocol (SNMP) aktiviert ist.
Die Schwachstelle ermöglicht es Angreifern, unter bestimmten Umständen die vollständige Kontrolle über betroffene Systeme zu erlangen oder diese lahmzulegen. Cisco empfiehlt allen Administratoren, die bereitgestellten Patches umgehend zu installieren, um ihre Netzwerkinfrastruktur zu schützen.
Wichtige Informationen
- Eine neue Zero-Day-Schwachstelle (CVE-2025-20352) betrifft Cisco IOS und IOS XE.
- Die Lücke wird bereits aktiv für Angriffe ausgenutzt.
- Angreifer können Denial-of-Service-Angriffe ausführen oder die vollständige Kontrolle über Systeme erlangen.
- Alle Geräte mit aktiviertem SNMP sind potenziell gefährdet.
- Cisco hat Sicherheitsupdates veröffentlicht und empfiehlt eine sofortige Installation.
Details zur Schwachstelle CVE-2025-20352
Die Sicherheitslücke basiert auf einem sogenannten „Stack-based Buffer Overflow“ im SNMP-Subsystem der betroffenen Software. SNMP ist ein weit verbreitetes Protokoll zur Überwachung und Verwaltung von Netzwerkgeräten. Die Schwachstelle macht es für Angreifer möglich, durch das Senden speziell präparierter SNMP-Pakete an ein Gerät über IPv4- oder IPv6-Netzwerke Code auszuführen oder das System zum Absturz zu bringen.
Die Auswirkungen eines erfolgreichen Angriffs hängen von den Berechtigungen des Angreifers ab. Ein authentifizierter Angreifer mit niedrigen Rechten kann einen Denial-of-Service-Zustand (DoS) herbeiführen, der das Gerät unerreichbar macht und neu gestartet werden muss.
Hohes Risiko für Administratoren
Besonders gefährlich wird es, wenn Angreifer über hohe Berechtigungen verfügen. In diesem Fall können sie Code mit Root-Rechten ausführen, was ihnen die vollständige Kontrolle über das betroffene Cisco-Gerät verschafft. Dies stellt ein erhebliches Sicherheitsrisiko für Unternehmensnetzwerke dar.
Offizielle Bestätigung der Angriffe
Cisco hat in seiner Sicherheitswarnung vom Mittwoch bestätigt, dass die Schwachstelle bereits aktiv ausgenutzt wird. Das Cisco Product Security Incident Response Team (PSIRT) wurde auf die Angriffe aufmerksam, nachdem bei einem Vorfall die Anmeldeinformationen eines lokalen Administrators kompromittiert wurden.
„Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er ein manipuliertes SNMP-Paket an ein betroffenes Gerät sendet. Das Cisco PSIRT wurde auf die erfolgreiche Ausnutzung dieser Schwachstelle in freier Wildbahn aufmerksam“, erklärte das Unternehmen in der offiziellen Mitteilung.
Empfohlene Gegenmaßnahmen und Risikominderung
Cisco fordert seine Kunden dringend auf, die bereitgestellten Software-Updates zu installieren, um die Sicherheitslücke zu schließen. Dies ist die einzige Möglichkeit, das Problem vollständig zu beheben und zukünftige Angriffe über diesen Vektor zu verhindern.
Für Administratoren, die die Updates nicht sofort einspielen können, gibt es eine temporäre Milderungsmaßnahme. Cisco empfiehlt, den Zugriff auf SNMP auf betroffenen Systemen ausschließlich auf vertrauenswürdige Benutzer zu beschränken. Diese Maßnahme reduziert die Angriffsfläche, ersetzt aber nicht das notwendige Software-Update.
Was ist ein Zero-Day-Angriff?
Ein „Zero-Day“-Angriff nutzt eine Sicherheitslücke aus, die dem Softwarehersteller noch unbekannt ist oder für die noch kein offizieller Patch existiert. Der Name leitet sich davon ab, dass Entwickler „null Tage“ Zeit hatten, das Problem zu beheben, bevor es ausgenutzt wurde. Solche Angriffe sind besonders gefährlich, da es anfangs keinen direkten Schutz gibt.
Cisco betont jedoch, dass diese Einschränkung keine dauerhafte Lösung darstellt. „Um diese Schwachstelle vollständig zu beheben und eine zukünftige Gefährdung zu vermeiden, empfiehlt Cisco dringend, auf die in dieser Mitteilung angegebene korrigierte Software zu aktualisieren“, so die Warnung des Unternehmens.
Weitere Sicherheitslücken geschlossen
Neben der kritischen Zero-Day-Lücke hat Cisco am selben Tag Patches für 13 weitere Schwachstellen veröffentlicht. Zwei davon sind besonders bemerkenswert, da für sie bereits Proof-of-Concept-Exploit-Code öffentlich verfügbar ist, was das Risiko einer Ausnutzung erhöht.
Übersicht der zusätzlichen Patches:
- CVE-2025-20240: Eine Cross-Site-Scripting (XSS)-Schwachstelle in Cisco IOS XE. Ein nicht authentifizierter Angreifer könnte diese Lücke aus der Ferne nutzen, um sensible Informationen wie Cookies von betroffenen Geräten zu stehlen.
- CVE-2025-20149: Eine Denial-of-Service-Schwachstelle. Ein authentifizierter, lokaler Angreifer könnte diese Lücke ausnutzen, um einen Neustart des betroffenen Geräts zu erzwingen.
Diese zusätzlichen Updates unterstreichen die Notwendigkeit für Netzwerkadministratoren, ihre Systeme regelmäßig zu überprüfen und auf dem neuesten Stand zu halten, um eine breite Palette von Bedrohungen abzuwehren.
Kontext früherer Cisco-Schwachstellen
Die aktuelle Warnung reiht sich in eine Serie von Sicherheitsvorfällen bei Cisco-Produkten ein. Erst im Mai dieses Jahres musste das Unternehmen eine Lücke mit maximaler Kritikalität in IOS XE beheben, die Wireless LAN Controller betraf. Damals ermöglichte ein fest einprogrammierter JSON Web Token (JWT) nicht authentifizierten Angreifern die vollständige Übernahme von Geräten aus der Ferne.
Die wiederholten Vorfälle zeigen, wie wichtig eine proaktive Sicherheitsstrategie ist. Netzwerkkomponenten von Herstellern wie Cisco bilden das Rückgrat vieler Unternehmens- und Regierungsinfrastrukturen. Eine erfolgreiche Kompromittierung kann weitreichende Folgen haben, von Datendiebstahl über Betriebsunterbrechungen bis hin zur vollständigen Übernahme kritischer Systeme. Administratoren sollten daher Sicherheitswarnungen der Hersteller stets ernst nehmen und empfohlene Maßnahmen zeitnah umsetzen.
