هشدار سیسکو در مورد آسیب‌پذیری SNMP که به‌طور فعال مورد بهره‌برداری قرار می‌گیرد!

سیسکو در مورد یک نقص امنیتی با شدت بالا در نرم‌افزار IOS و نرم‌افزار IOS XE هشدار داده است که می‌تواند به یک مهاجم از راه دور اجازه دهد کد دلخواه را اجرا کند یا تحت شرایط خاص باعث ایجاد شرایط انکار سرویس (DoS) شود.

این شرکت اعلام کرد که این آسیب‌پذیری، با شناسه CVE-2025-20352 (امتیاز ۷٫۷ در CVSS)، در سطح اینترنت مورد بهره‌برداری قرار گرفته است و افزود که “پس از به خطر افتادن اعتبارنامه‌های مدیر محلی” از آن آگاه شده است[۱].

طبق گفته‌ی این متخصص تجهیزات شبکه، این مشکل ریشه در زیرسیستم پروتکل مدیریت شبکه ساده (SNMP) دارد که درنتیجه‌ی شرایط سرریز پشته ایجاد می‌شود.

یک مهاجم از راه دور و دارای مجوز می‌تواند با ارسال یک بسته SNMP دستکاری‌شده به یک دستگاه آسیب‌دیده از طریق شبکه‌های IPv4 یا IPv6 از این نقص بهره‌برداری کند و در صورت داشتن امتیازات پایین منجر به DoS یا در صورت داشتن امتیازات بالا منجر به اجرای کد دلخواه به‌عنوان root شود و درنهایت کنترل سیستم حساس را به دست گیرد.

بااین‌حال، سیسکو خاطرنشان کرد که برای وقوع این امر، شرایط زیر باید رعایت شوند.

• برای ایجاد DoS، مهاجم باید رشته جامعه فقط خواندنی SNMPv2c یا نسخه‌های قدیمی‌تر یا اعتبارنامه‌های کاربری معتبر SNMPv3 را داشته باشد.
• برای اجرای کد به‌عنوان کاربر ریشه، مهاجم باید رشته جامعه فقط خواندنی SNMPv1 یا v2c یا اعتبارنامه‌های کاربری معتبر SNMPv3 و اعتبارنامه‌های مدیریتی یا امتیازی ۱۵ را در دستگاه آسیب‌دیده داشته باشد.

این شرکت اعلام کرد که این مشکل بر همه نسخه‌های SNMP و همچنین سوئیچ‌های Meraki MS390 و Cisco Catalyst 9300 Series که Meraki CS 17 و نسخه‌های قدیمی‌تر را اجرا می‌کنند، تأثیر می‌گذارد. این مشکل در نرم‌افزار Cisco IOS XE نسخه ۱۷٫۱۵٫۴a برطرف شده است. نرم‌افزار Cisco IOS XR و نرم‌افزار NX-OS تحت تأثیر قرار نگرفته‌اند.

سیسکو اعلام کرد: “این آسیب‌پذیری بر همه نسخه‌های SNMP تأثیر می‌گذارد. همه دستگاه‌هایی که SNMP را فعال کرده‌اند و شناسه شیء (OID) آسیب‌پذیر را به‌صراحت حذف نکرده‌اند، باید آسیب‌پذیر در نظر گرفته شوند.”

درحالی‌که هیچ راه‌حلی برای حل CVE-2025-20352 وجود ندارد، یک راهکار کاهش خطر که توسط سیسکو پیشنهاد شده است شامل اجازه دادن به کاربران مورد اعتماد برای دسترسی SNMP به یک سیستم آسیب‌دیده و نظارت بر سیستم‌ها با اجرای دستور “show snmp host” است.

این شرکت افزود: “مدیران می‌توانند OID های آسیب‌دیده را در یک دستگاه غیرفعال کنند. همه نرم‌افزارها از OID ذکرشده در راهکار کاهش خطر پشتیبانی نمی‌کنند. اگر OID برای نرم‌افزار خاصی معتبر نباشد، تحت تأثیر این آسیب‌پذیری قرار نمی‌گیرد. حذف این OID ها ممکن است بر مدیریت دستگاه از طریق SNMP، مانند کشف و موجودی سخت‌افزار، تأثیر بگذارد.”

  منابع

[۱] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-snmp-x4LPhte

[۲] https://thehackernews.com/2025/09/cisco-warns-of-actively-exploited-snmp.html