Cisco, yaygın olarak kullanılan iOS ve iOS XE yazılımında, vahşi doğada aktif olarak sömürüldüğünü doğrulayan sıfır günlük bir güvenlik açığı olan CVE-2025-20352’yi açıkladı.
Kusur, Basit Ağ Yönetimi Protokolü (SNMP) alt sisteminde bulunur ve uzak bir saldırganın uzaktan kod yürütülmesine (RCE) ulaşmasına veya savunmasız cihazlarda bir hizmet reddi (DOS) koşuluna neden olmasına izin verebilir.
Güvenlik açığı ilk olarak bir Cisco Teknik Yardım Merkezi (TAC) destek davasının araştırılması sırasında tanımlanmıştır.
Güvenlik açığı, hem Cisco IOS hem de iOS XE yazılımının SNMP alt sistemindeki bir yığın taşma koşuluna (CWE-121) dayanmaktadır. Bir saldırgan, etkilenen bir cihaza bir IPv4 veya IPv6 ağı üzerinden hazırlanmış bir SNMP paketi göndererek bu kusuru tetikleyebilir.
24 Eylül 2025’te yayınlanan danışmanlık, SNMP’nin (V1, V2C ve V3) tüm sürümlerinin duyarlı olduğunu doğrulamaktadır.
İstismarın şiddeti, saldırganın ayrıcalık seviyesine bağlıdır:
- Düşük ayrıcalıklı fakat kimlik doğrulamalı bir uzaktan saldırgan, etkilenen cihazın yeniden yüklenmesine neden olabilir ve bu da bir DOS durumuna yol açabilir. Bu, bir SNMPV2C salt okunur topluluk dizesine veya geçerli SNMPV3 kullanıcı kimlik bilgilerine erişim gerektirir.
- İdari veya ayrıcalığa sahip yüksek ayrıcalıklı bir saldırgan 15 kimlik bilgileri, keyfi kod yürütebilir.
rootIOS XE’yi çalıştıran cihazlarda kullanıcı, sistemin tam kontrolünü etkili bir şekilde elde eder.
Aktif sömürü ve etkilenen cihazlar
Cisco’nun Ürün Güvenliği Olay Müdahale Ekibi (PSIRT), vahşi doğada bu kırılganlığın başarılı bir şekilde kullanıldığını doğruladı.
Danışmanlığa göre, saldırganlar ilk önce yerel yönetici kimlik bilgilerinden ödün verdikten sonra zincirlenmiş bir saldırı metodolojisi gösterdikten sonra kusurdan yararlandı.
Bu, yama işleminin yanı sıra güçlü kimlik bilgisi yönetimi için kritik ihtiyacı vurgular.
Güvenlik açığı, SNMP’nin etkinleştirildiği iOS ve iOS XE yazılımının savunmasız sürümlerini çalıştıran çok çeşitli Cisco cihazlarını etkiler. Bahsedilen belirli ürünler arasında Meraki MS390 ve Cisco Catalyst 9300 Serisi anahtarları bulunmaktadır.
| Ürün | Etkilenen sürümler | Sabit Sürüm |
|---|---|---|
| Cisco IOS & IOS XE yazılımı | İlk sabit yazılım sürümünden önce SNMP özellikli tüm sürümler savunmasız olarak kabul edilir. | Müşteriler, belirli yazılım trenleri için uygun yamalı sürümü belirlemek için Cisco yazılım denetleyicisini kullanmalıdır. |
| Meraki MS390 anahtarları | Meraki CS 17 ve önceki. | Güvenlik açığı Cisco IOS XE yazılım sürüm 17.15.4a’da ele alınmaktadır. |
| Cisco Catalyst 9300 Serisi Anahtarlar | Meraki CS 17 ve önceki. | Güvenlik açığı Cisco IOS XE yazılım sürüm 17.15.4a’da ele alınmaktadır. |
Kötü amaçlı trafiği engellemek için belirli konfigürasyonlar mevcut olmadığı sürece SNMP özellikli herhangi bir cihaz savunmasız olarak kabul edilir. Yöneticiler kullanabilir show running-config SNMP’nin sistemlerinde etkin olup olmadığını belirleme komutları.
Cisco, bu güvenlik açığını gidermek için yazılım güncellemeleri yayınladı ve sorunu tam olarak düzeltmek için tüm müşterilerin yamalı bir yazılım sürümüne yükseltilmesini şiddetle tavsiye ediyor. Danışma, olarak tanımlanan cisco-sa-snmp-x4LPhteherhangi bir geçici çözüm olmadığını açıklar.
Güncellemeleri hemen uygulayamayan kuruluşlar için Cisco bir hafifletme tekniği sağlamıştır. Yöneticiler, etkilenen nesne kimliklerini (OID’ler) hariç tutmak için bir SNMP görünümünü yapılandırabilir ve savunmasız kod yolunun tetiklenmesini önleyebilir.
Bununla birlikte, Cisco bu hafifletmenin cihaz keşfi ve donanım envanter izleme gibi ağ yönetimi işlevlerini bozabileceğine dikkat çekiyor. Genel bir güvenlik önlemi olarak, Cisco ayrıca SNMP’nin yalnızca güvenilir kullanıcılara erişimini kısıtlamayı önerir.
Günlük siber güvenlik güncellemeleri için bizi Google News, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
