Исследователи компании CyberOK обнаружили в российском сегменте сети свыше 30 000 устройств с включённым протоколом SNMP v1 или v2c причём около 1 700 из них выглядят потенциально уязвимыми к уязвимости CVE-2025-20352. Проверка наличия исправлений зависит от версии операционной системы IOS или IOS XE и выполняется через инструмент Cisco Software Checker.
CVE-2025-20352 представляет собой переполнение стека в подсистеме SNMP Cisco IOS и IOS XE. Для эксплуатации требуются валидные SNMP‑учётные данные. При низком уровне прав злоумышленник может вызвать отказ в обслуживании при повышенных привилегиях на IOS XE доступно удалённое выполнение команд через специально сформированные SNMP‑пакеты. По данным CyberOK эта уязвимость уже эксплуатируется злоумышленниками в реальных атаках.
Аналитики отмечают массовое использование устаревших конфигураций. Многие устройства продолжают отвечать по SNMP v1 и v2c и применяют стандартные сообщества public и private что значительно повышает риск компрометации. Характерные сигналы в логах и метриках включают всплески SNMP auth failure и noSuchName частые запросы к SNMP падение sysUpTime повторные перезагрузки и записи в crashinfo а также нетипичные источники трафика по UDP/161.
В качестве практических мер специалисты советуют ограничить доступ к SNMP через ACL и CoPP только для менеджмент‑хостов перейти на SNMPv3 с режимом authPriv отказаться от использования стандартных сообществ в v1/v2c обновить IOS и IOS XE до билдов с исправлением и настроить мониторинг sysDescr sysUpTime и активности по UDP/161. CyberOK опубликовала скрипт для быстрой проверки на GitHub что облегчает экспресс‑аудит сети.
Cisco уже выпустила обновления безопасности устраняющие CVE-2025-20352 и ещё ряд уязвимостей. Вендор подчёркивает что успешные атаки в ряде случаев происходили после компрометации административных учётных данных и что обходных решений нет поэтому рекомендуется срочно переходить на патч‑билды. В том же пакете исправлений компания закрыла 13 уязвимостей среди которых две с опубликованными PoC CVE-2025-20240 связанная с XSS в IOS XE и CVE-2025-20149 приводящая к принудительной перезагрузке устройства со стороны локального пользователя.