Cisco’nun iOS ve iOS XE’deki Basit Ağ Yönetimi Protokolü (SNMP) uygulamaları, vahşi doğada aktif sömürü raporlarının ardından yoğun bir inceleme altında kalmıştır.
İlk olarak Ağustos 2025’te açıklanan CVE-2025-20352, SNMP motorunda, kimlik doğrulanmamış uzak saldırganların keyfi kod yürütmesine izin veren kritik bir tampon taşmasını açıklar.
Güvenlik açığı, bir Getbulk isteğinde büyük boyutlu bir yük gönderildiğinde, dahili bir arabelleğin aşıldığı ve kontrol akışını saldırgan tarafından sağlanan kabuk koduna yönlendirdiğinde ortaya çıkar.
Ağ operatörleri, açıklanamayan cihaz yeniden başlatmalarını ve anormal SNMP trafik modellerini fark etmeye başladığında ilk göstergeler ortaya çıktı.
Müteakip adli analiz, tehlikeye atılan yönlendiricilerin, kötü biçimlendirilmiş SNMP isteklerini kullandıktan hemen sonra harici komut ve kontrol sunucularına ping attığını ortaya koydu.
CISA analistleri, bu davranışı kırılganlığın kamuya açıklanmasından sonraki haftalar içinde tanımladılar ve düşmanların CVE-2025-20352’yi kurumsal ağlarda kalıcı tabanlar oluşturmak için kullandıkları konusunda uyardı.
Etki, ISR 4000 Serisi yönlendiricilerinden 17.10’dan önce iOS XE sürümlerini çalıştıran katalizör anahtarlarına kadar çok çeşitli Cisco platformlarına yayılıyor.
Sömürme, yalnızca SNMP hizmetine ağ ulaşılabilirliği ve geçerli kimlik bilgileri gerektirmez, bu da açıkta kalan yönetim arayüzlerini özellikle tehlikeli hale getirir.
Bildirilen bir olayda, saldırganlar, saldırgan kontrollü bir ana bilgisayara ters bir kabuk kuran ve cihazın tam uzaktan kumandasını sağlayan özel bir yük kullandı.
Enfeksiyon mekanizması
Kaputun altında, saldırı SNMP motorunun yığınında sınır dışı bir yazıyı tetikleyen kötü biçimlendirilmiş bir PDU’dan yararlanır.
Maksimum arabellek boyutunu aşan bir uzunluk alanı olan bir GetBulk isteği aldıktan sonra, SNMP işleyicisi mesaj boyutunu doğrulayamaz.
Bu taşma, yığın üzerindeki kaydedilen iade adresinin üzerine yazarak yürütmeyi pakete gömülü kabuk koduna yönlendirir.
Yürütme başladığında, yük, saldırganın IP adresine bir soket bağlantısını başlatır:-
from pysnmp.hlapi import *
payload = b"\x90" * 100 + reverse_shell_shellcode
sendNotification(
SnmpEngine(),
CommunityData('public'),
UdpTransportTarget(('192.0.2.123', 161)),
ContextData(),
NotificationType(
ObjectIdentity('1.3.6.1.4.1.9.9.96'),
('1.3.6.1.4.1.9.9.96.1.1', OctetString(payload))
)
)Paket yapısı, büyük boy uzunluk alanının ve gömülü kabuk kodunun nasıl birleştirildiğini vurgulamaktadır.
Ağ savunucuları, en son Cisco yamalarını derhal uygulamaya ve SNMP’nin yalnızca güvenilir ana bilgisayarlara erişimini kısıtlamaları istenir.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
