Cisco hat eine dringende Sicherheitswarnung für eine schwerwiegende Schwachstelle in seiner weitverbreiteten IOS- und IOS-XE-Software veröffentlicht. Die als CVE-2025-20352 identifizierte Lücke wird laut dem Unternehmen bereits aktiv ausgenutzt. Angreifer können unter bestimmten Umständen Systeme lahmlegen oder die vollständige Kontrolle übernehmen.
Die Schwachstelle betrifft das Simple Network Management Protocol (SNMP), ein Standardprotokoll zur Überwachung und Verwaltung von Netzwerkgeräten. Cisco hat bereits ein Software-Update bereitgestellt und empfiehlt Administratoren, ihre Systeme umgehend zu überprüfen und zu aktualisieren.
Wichtige Informationen
- Sicherheitslücke: CVE-2025-20352 mit einem CVSS-Score von 7.7 (Hoch).
- Betroffene Software: Cisco IOS Software und IOS XE Software mit aktiviertem SNMP.
- Auswirkungen: Denial-of-Service (Systemausfall) oder Ausführung von beliebigem Code mit Root-Rechten.
- Status: Die Schwachstelle wird bereits aktiv für Angriffe genutzt.
- Lösung: Ein Update auf Cisco IOS XE Software Release 17.15.4a ist verfügbar.
Details zur Schwachstelle CVE-2025-20352
Die Sicherheitslücke CVE-2025-20352 befindet sich im SNMP-Subsystem der Cisco-Software. Laut dem technischen Bericht des Unternehmens handelt es sich um einen sogenannten „Stack Overflow“. Dieser Fehler tritt auf, wenn ein Programm mehr Daten in einen Speicherbereich schreibt, als dieser aufnehmen kann, was zu unvorhersehbarem Verhalten führt.
Ein Angreifer kann diesen Fehler aus der Ferne ausnutzen, indem er ein speziell präpariertes SNMP-Datenpaket an ein verwundbares Gerät sendet. Dies kann sowohl über IPv4- als auch über IPv6-Netzwerke geschehen. Die Konsequenzen eines solchen Angriffs hängen von den Berechtigungen des Angreifers ab.
Zwei Angriffsszenarien sind möglich
Cisco beschreibt zwei unterschiedliche Szenarien, die sich aus der Ausnutzung der Schwachstelle ergeben können:
- Denial-of-Service (DoS): Ein Angreifer mit niedrigen Berechtigungen kann einen Systemabsturz verursachen. Dazu benötigt er lediglich einen gültigen SNMPv2c Read-Only Community String oder SNMPv3-Benutzeranmeldeinformationen. Das betroffene Gerät startet in der Folge neu, was zu einer Betriebsunterbrechung führt.
- Ausführung von beliebigem Code: Ein Angreifer mit hohen Berechtigungen kann die Schwachstelle nutzen, um beliebigen Code mit den höchsten Systemrechten (Root) auszuführen. Dafür sind zusätzlich administrative Anmeldeinformationen (Privilege Level 15) auf dem Gerät erforderlich. In diesem Fall kann der Angreifer die vollständige Kontrolle über das System erlangen.
Was ist SNMP?
Das Simple Network Management Protocol (SNMP) ist ein Standardprotokoll, das Administratoren zur Überwachung von Netzwerkgeräten wie Routern, Switches und Servern verwenden. Es ermöglicht das Abfragen von Statusinformationen (z. B. CPU-Auslastung, Netzwerkverkehr) und das Konfigurieren von Einstellungen aus der Ferne.
Betroffene Geräte und Softwareversionen
Laut Cisco sind grundsätzlich alle Geräte anfällig, auf denen SNMP aktiviert ist und die betroffene Objekt-ID (OID) nicht explizit blockiert wurde. Die Schwachstelle betrifft alle Versionen des SNMP-Protokolls (v1, v2c und v3).
Besonders hervorgehoben werden die folgenden Produktreihen:
- Meraki MS390 Switches: Geräte, die Meraki CS 17 oder eine frühere Version ausführen.
- Cisco Catalyst 9300 Series Switches: Geräte, die ebenfalls von der genannten Meraki-Softwareversion betroffen sind.
Cisco betont, dass die Softwareplattformen Cisco IOS XR und NX-OS von dieser spezifischen Schwachstelle nicht betroffen sind.
Aktive Ausnutzung bestätigt
Ein besonders alarmierender Aspekt dieser Sicherheitswarnung ist die Bestätigung, dass die Lücke bereits aktiv ausgenutzt wird. Cisco erklärte, man sei auf die Schwachstelle aufmerksam geworden, „nachdem lokale Administrator-Anmeldeinformationen kompromittiert wurden“. Dies deutet darauf hin, dass Angreifer die Lücke bereits in realen Umgebungen für Angriffe verwenden, möglicherweise nachdem sie sich anderweitig Zugang zu Netzwerken verschafft haben.
Empfohlene Maßnahmen und Gegenstrategien
Cisco hat eine aktualisierte Softwareversion, Cisco IOS XE Software Release 17.15.4a, veröffentlicht, die die Schwachstelle behebt. Die Installation dieses Updates ist die wichtigste und effektivste Maßnahme zum Schutz der Systeme.
Für Administratoren, die das Update nicht sofort installieren können, gibt es keine vollständigen Workarounds. Cisco schlägt jedoch mehrere mildernde Maßnahmen vor, um das Risiko zu reduzieren.
Risikominderung ohne sofortiges Update
Administratoren können folgende Schritte unternehmen, um die Angriffsfläche zu verkleinern:
- Zugriffsbeschränkung: Der SNMP-Zugriff sollte ausschließlich auf vertrauenswürdige Benutzer und Systeme beschränkt werden. Dies kann durch die Konfiguration von Zugriffskontrolllisten (ACLs) erreicht werden.
- Überwachung: Administratoren sollten ihre Systeme aktiv überwachen. Mit dem Befehl
show snmp hostkann überprüft werden, welche Systeme SNMP-Anfragen an das Gerät senden. - Deaktivierung betroffener OIDs: Es ist möglich, die spezifischen Object IDs (OIDs), die für den Angriff genutzt werden, zu deaktivieren. Cisco weist jedoch darauf hin, dass diese Option nicht von jeder Software unterstützt wird und die Geräteverwaltung über SNMP beeinträchtigen könnte, etwa bei der Hardware-Inventarisierung.
„Alle Geräte, auf denen SNMP aktiviert ist und die betroffene Objekt-ID (OID) nicht explizit ausgeschlossen haben, sollten als anfällig betrachtet werden“, so die offizielle Mitteilung von Cisco.
Die Bedeutung für Netzwerkadministratoren
Die Kombination aus einer weitverbreiteten Software, einer schwerwiegenden Schwachstelle und deren aktiver Ausnutzung stellt ein erhebliches Risiko für Unternehmensnetzwerke dar. Kompromittierte Netzwerk-Switches oder Router können als Einfallstor für weitreichendere Angriffe auf die gesamte IT-Infrastruktur dienen.
Administratoren sind dringend angehalten, ihre Bestände an Cisco-Geräten zu überprüfen, um festzustellen, ob sie anfällige Versionen von IOS oder IOS XE einsetzen. Die Priorität sollte auf der schnellstmöglichen Installation des bereitgestellten Sicherheitsupdates liegen, um die Systeme abzusichern und potenzielle Betriebsunterbrechungen oder Sicherheitsvorfälle zu verhindern.
