Cisco hat eine kritische Sicherheitslücke in seinen Betriebssystemen IOS und IOS XE bestätigt, die bereits aktiv von Angreifern ausgenutzt wird. Die als CVE-2025-20352 identifizierte Schwachstelle betrifft potenziell Millionen von Netzwerkgeräten weltweit und ermöglicht Angreifern, Systeme lahmzulegen oder die vollständige Kontrolle zu übernehmen.
Das Unternehmen hat dringende Sicherheitsupdates veröffentlicht und empfiehlt allen Administratoren, ihre Systeme umgehend zu aktualisieren. Analysen zeigen, dass eine große Anzahl von Geräten über das Internet erreichbar und somit direkt gefährdet ist.
Wichtige Informationen
- Eine Zero-Day-Lücke (CVE-2025-20352) betrifft alle unterstützten Versionen von Cisco IOS und IOS XE.
- Die Schwachstelle wird laut Cisco bereits aktiv für Angriffe genutzt.
- Angreifer können Denial-of-Service-Attacken oder die Ausführung von Code mit höchsten Rechten (Root) durchführen.
- Potenziell sind bis zu zwei Millionen Geräte über das Internet angreifbar.
- Cisco hat Sicherheitspatches zur Behebung des Problems bereitgestellt.
Details zur Schwachstelle CVE-2025-20352
Die Sicherheitslücke wurde von Cisco mit einem Schweregrad von 7,7 von 10 eingestuft. Sie befindet sich in der Komponente, die das Simple Network Management Protocol (SNMP) verarbeitet. SNMP ist ein Standardprotokoll, das zur Überwachung und Verwaltung von Netzwerkgeräten wie Routern und Switches eingesetzt wird.
Die Ursache ist ein sogenannter Stack-Overflow-Fehler. Dieser tritt auf, wenn ein Programm mehr Daten in einen Speicherbereich schreibt, als dieser aufnehmen kann. Angreifer können dies ausnutzen, indem sie speziell präparierte SNMP-Pakete an ein verwundbares Gerät senden.
Zwei Angriffsszenarien sind möglich
Abhängig von den Berechtigungen des Angreifers kann die Schwachstelle auf zwei Arten ausgenutzt werden:
- Denial-of-Service (DoS): Ein Angreifer mit geringen Rechten benötigt lediglich einen gültigen „Read-Only Community String“ oder SNMPv3-Anmeldedaten. Damit kann er das Gerät zum Absturz bringen und so den Netzwerkverkehr unterbrechen.
- Remote Code Execution (RCE): Besitzt ein Angreifer zusätzlich zu den SNMP-Zugangsdaten höhere Systemprivilegien, kann er beliebigen Code ausführen. Dieser Code läuft mit Root-Rechten, der höchsten Berechtigungsstufe auf dem System.
Was sind Root-Rechte?
Root-Rechte entsprechen den Administratorrechten auf einem Linux- oder Unix-basierten System, wie es bei Cisco IOS der Fall ist. Ein Angreifer mit Root-Zugriff hat die vollständige Kontrolle über das Gerät. Er kann Konfigurationen ändern, Daten abfangen, Malware installieren oder das Gerät als Sprungbrett für weitere Angriffe im Netzwerk nutzen.
Aktive Ausnutzung bestätigt
In seiner Sicherheitswarnung erklärte Cisco, dass das Product Security Incident Response Team (PSIRT) auf erfolgreiche Angriffe aufmerksam wurde. „Das Cisco PSIRT wurde auf eine erfolgreiche Ausnutzung dieser Schwachstelle in freier Wildbahn aufmerksam, nachdem lokale Administrator-Anmeldeinformationen kompromittiert wurden“, heißt es in der offiziellen Mitteilung.
„Cisco empfiehlt Kunden dringend, auf eine fehlerbereinigte Softwareversion zu aktualisieren, um diese Schwachstelle zu beheben.“
Weitere Details zu den bereits stattgefundenen Angriffen oder den betroffenen Organisationen nannte das Unternehmen nicht. Die Tatsache, dass es sich um eine Zero-Day-Lücke handelt, die bereits ausgenutzt wird, erhöht den Handlungsdruck für Administratoren erheblich.
Das Risiko durch öffentlich erreichbare Geräte
Ein wesentlicher Faktor, der das Risiko erhöht, ist die fehlerhafte Konfiguration vieler Netzwerkgeräte. Sicherheitsforscher warnen seit langem davor, Verwaltungsschnittstellen wie SNMP dem öffentlichen Internet auszusetzen. Dennoch ist dies eine weit verbreitete Praxis.
Der unabhängige Sicherheitsforscher Kevin Beaumont wies darauf hin, dass eine Suche mit der Suchmaschine Shodan zeigt, dass weltweit über zwei Millionen Geräte ihre SNMP-Schnittstelle über das Internet erreichbar gemacht haben. Jedes dieser Geräte ist potenziell anfällig für einen Angriff.
Was ist ein SNMP Community String?
Ein Community String ist eine Art Passwort, das den Zugriff auf die SNMP-Daten eines Geräts kontrolliert. Viele Geräte werden mit Standard-Strings wie „public“ (für Lesezugriff) ausgeliefert. Wenn Administratoren diese Standardwerte nicht ändern, machen sie ihre Systeme für Angreifer leicht zugänglich.
Selbst wenn die Community Strings geändert werden, sind sie innerhalb einer Organisation oft weithin bekannt. Dies erleichtert es Angreifern, die über einen ersten Zugangspunkt ins Netzwerk gelangt sind, sich seitlich zu bewegen und weitere Systeme zu kompromittieren.
Empfohlene Schutzmaßnahmen
Cisco hat Updates für die betroffenen IOS- und IOS-XE-Versionen veröffentlicht. Die Installation dieser Patches ist die einzige Möglichkeit, die Schwachstelle vollständig zu schließen.
Dringende Handlungsempfehlungen
- Software aktualisieren: Administratoren sollten umgehend die von Cisco bereitgestellten Sicherheitsupdates installieren.
- Zugriff einschränken: Falls ein sofortiges Update nicht möglich ist, sollte der SNMP-Zugriff auf die Geräte auf ein Minimum beschränkt werden. Nur vertrauenswürdige Benutzer und Systeme sollten Zugriff erhalten.
- Netzwerk überwachen: Unternehmen sollten ihre Systeme mithilfe des
snmp-Befehls in der Kommandozeile überwachen, um ungewöhnliche Aktivitäten zu erkennen.
Es gibt laut Cisco keine alternativen Workarounds, um die Ausnutzung der Lücke zu verhindern. Die genannten Minderungsmaßnahmen können das Risiko lediglich reduzieren, aber nicht eliminieren.
Die Schwachstelle CVE-2025-20352 war Teil eines größeren Patch-Zyklus im September, bei dem Cisco insgesamt 14 Sicherheitslücken schloss. Acht dieser Lücken wiesen ebenfalls hohe Schweregrade zwischen 6,7 und 8,8 auf, was die Notwendigkeit regelmäßiger Systemwartung unterstreicht.
