一个正在被积极利用的零日漏洞(CVE-2025-20352)正威胁全球大量思科网络设备。据公开扫描数据显示,超过200万台运行暴露SNMP服务的思科设备可能处于高风险之中。
该漏洞存在于广泛使用的 Cisco IOS 和 IOS XE 操作系统中,影响其多个支持版本。思科已于本周发布安全公告,确认漏洞已在野外遭成功利用,并强烈建议用户立即采取修复措施。
漏洞详情:SNMP栈溢出导致远程代码执行
CVE-2025-20352 是由于 IOS 系统中 SNMP(简单网络管理协议)组件存在栈溢出错误所致。攻击者可通过发送特制的 SNMP 数据包触发该漏洞,实现两种攻击路径:
- 拒绝服务(DoS):仅需获取只读社区字符串或有效的 SNMPv3 凭证,即可导致设备崩溃重启;
- 远程代码执行(RCE):若攻击者同时具备设备上的本地权限和只读访问凭证,则可获得以 root 权限运行任意代码的能力。
漏洞严重性评分为 7.7(CVSS v3.1,满分10分),属于“高危”级别。尽管未达最高分,但由于其利用门槛相对较低且已确认被主动攻击,实际风险极高。
攻击依赖条件与现实威胁
要实现 RCE,攻击者需满足两个前提:
- 掌握 SNMP 的只读社区字符串(常见默认值如
public,常被保留或弱配置); - 在目标设备上拥有本地账户权限(即使是低权限用户)。
一旦达成,攻击者将突破系统边界,获得远超管理员权限的 root 控制权——这意味着可持久驻留、横向移动甚至篡改固件。
对于 DoS 攻击,条件更宽松:只需 SNMP 接口暴露在公网并可验证凭证即可发起。
公网暴露问题严峻
问题的关键在于:大量企业仍将 SNMP 服务直接暴露于互联网。网络安全研究人员 Kevin Beaumont 引用 Shodan 扫描数据指出,全球有超过200万台思科设备的 SNMP 接口可从公网访问,为攻击者提供了广泛的攻击面。
虽然 SNMP 设计用于内部网络监控,但不当配置使其成为长期安全隐患。尤其是在缺乏防火墙过滤、未启用加密认证(如 SNMPv3)的情况下,风险显著放大。
思科官方响应与缓解建议
思科产品安全事件响应团队(PSIRT)表示,此次漏洞利用是在一起本地管理员凭证泄露事件后被发现的,属于真实攻击场景。
目前,唯一有效防护方式是升级至已修复的软件版本。思科已在近期发布的9月安全更新中包含该补丁,同时修复了其他13个漏洞,其中8个评级在6.7至8.8之间。
对于暂时无法升级的环境,可采取以下临时缓解措施:
- 禁用不必要的 SNMP 服务;
- 将 SNMP 访问限制在可信IP范围内;
- 使用访问控制列表(ACL)阻止外部对 UDP 161/162 端口的访问;
- 启用 SNMPv3 并配置强认证与加密;
- 通过命令行定期监控设备状态(如使用
show snmp查看异常流量)。
0条评论