Cisco, CVE-2025-20352 olarak izlenen ve yaygın olarak konuşlandırılan Cisco IOS ve iOS XE yazılım platformlarını etkileyen kritik bir uzaktan kod yürütme (RCE) güvenlik açığı açıklamıştır. Cisco’nun Ürün Güvenliği Olay Müdahale Ekibi’ne (PSIR) göre, kusur vahşi doğada aktif olarak sömürülüyor ve onaylanmış saldırılar tehlikeye atılmış yönetici kimlik bilgilerinden yararlanıyor.
CVE-2025-20352’ye teknik bakış
Güvenlik açığı, Cisco IOS ve iOS XE yazılımının Basit Ağ Yönetimi Protokolü (SNMP) alt sisteminde bulunur. Cisco, kök nedenin IPv4 veya IPv6 üzerinden hazırlanmış SNMP paketleri gönderen bir saldırgan tarafından tetiklenebilen bir yığın taşma koşulu olduğunu ortaya koydu. Özellikle, güvenlik açığı SNMPV1, V2C ve V3 dahil olmak üzere SNMP’nin tüm sürümlerini etkiler.
CVE-2025-20352 uyarınca kataloglanan sorun, saldırganın ayrıcalık seviyesine bağlı olarak iki farklı senaryoda kullanılabilir:
| CVE | Etkilenen ürün | Darbe | CVSS 3.1 puanı |
| CVE-2025-20352 | Cisco IOS ve iOS XE SNMP alt sistemi | Hizmet Reddi (DOS) / Uzak Kod Yürütme (RCE) | 7.7 (yüksek) |
- SNMPV2C salt okunan topluluk dizelerine veya geçerli SNMPV3 kimlik bilgilerine sahip olan düşük ayrıcalıklı saldırganlar, etkilenen cihazları yeniden yüklemeye ve kesip kesmeye zorlayarak bir hizmet reddi koşuluna neden olabilir.
- SNMPV1 veya V2C topluluk dizelerine ve idari (ayrıcalık 15) kimlik bilgilerine sahip olan yüksek ayrıcalıklı saldırganlar, daha ileri gidebilir ve cihazda tam uzaktan kod yürütme sağlayabilir. Bu erişim seviyesi, kök kullanıcı olarak keyfi kodun yürütülmesine izin vererek, potansiyel olarak saldırganlara tehlikeye atılan sistem üzerinde tam kontrol sağlayacaktır.
Etkilenen cihazlar
Cisco, kusurun Cisco IOS ve iOS XE yazılımının savunmasız sürümlerini çalıştıran çok çeşitli cihazları etkilediğini doğruladı. Bu şunları içerir:
- Meraki MS390 anahtarları
- Cisco Catalyst 9300 Serisi Anahtarlar MERAKI CS 17 veya daha önceki
Aygıt yapılandırması etkilenen nesne tanımlayıcısını (OID) açıkça hariç tutmadıkça, güvenlik açığı SNMP etkinleştirilmiş herhangi bir cihazda mevcuttur.
Tespit ve doğrulama
Ağ yöneticileri SNMP yapılandırmalarını standart CLI komutlarını kullanarak kontrol edebilir:
Koşu-Konfig göster | SNMP-Server Communit’i ekleyin
Koşu-Konfig göster | SNMP-Server Grubu ekleyin
SNMP kullanımını göster
Bu komutlar, SNMP’nin etkin olup olmadığını gösterecek ve cihazda bulunan erişim seviyeleri hakkında bilgi verecektir.
Azaltma ve düzeltmeler
Şu anda hiçbir doğrudan çözüm mevcut olmasa da, Cisco RCE güvenlik açığını tam olarak ele alan yazılım güncellemeleri yayınladı. Geçici hafifletmeler şunları içerir:
- SNMP erişimini yalnızca güvenilir kullanıcılara sınırlamak.
- Etkilenen OID’leri devre dışı bırakmak SNMP-Server Görünümü emretmek.
- SNMP etkinliğini izleme SNMP ana bilgisayarı göster.
Bununla birlikte, yöneticiler, SNMP yapılandırmalarının değiştirilmesinin donanım keşfi ve envanter gibi cihaz yönetimi işlemlerini etkileyebileceği konusunda uyarılmaktadır.
Cisco’nun yanıtı ve açıklaması
Güvenlik açığı, bir Cisco Teknik Yardım Merkezi (TAC) destek davasının araştırılması sırasında keşfedildi. Wild-içi sömürünün onaylanmasının ardından Cisco, güvenlik danışmanlığı kimliği yayınladı: Cisco-SA-SNMP-X4LPHTE, sorunu 7.7’lik bir CVSS puanı ile “yüksek” ciddiyet olarak işaretledi.
Cisco, tüm müşterileri hangi sürümlerin etkilendiğini belirlemek ve sabit yazılımı gecikmeden uygulamak için Cisco yazılım denetleyicisini kullanmaya teşvik eder. Meraki CS gibi etkilenen cihazlar için önerilen sabit sürüm, iOS XE 17.15.4A’dır.
Etkilenmeyen ürünler
Cisco, bu RCE güvenlik açığının aşağıdakileri etkilemediğini doğruladı:
- Cisco IOS XR yazılımı
- Cisco NX-Yazılım
Cisco PSIRT, sömürünün yerel yönetici kimlik bilgilerinin uzlaşmasından sonra başladığını kabul etti. Tehdit oyuncusu veya saldırıların ölçeği hakkında daha fazla ayrıntı verilmedi, ancak şirket, RCE güvenlik açığı ağ altyapısı için kritik bir risk oluşturduğundan, güncellemelerin uygulanmasının aciliyetini vurguladı.