Ciscoは、同社のIOSおよびIOS XEソフトウェアに存在する重大なゼロデイ脆弱性（CVE-2025-20352）が、現実世界の攻撃で脅威アクターによって積極的に悪用されていることを明らかにしました。

この脆弱性は、Simple Network Management Protocol（SNMP）サブシステムに起因するスタックオーバーフロー状態であり、攻撃者の権限レベルに応じて、サービス拒否（DoS）攻撃とリモートコード実行（RCE）の両方を可能にします。SNMPプロトコル実装のすべてのバージョンが影響を受けます。

### 攻撃シナリオと影響

攻撃者は、IPv4またはIPv6ネットワーク経由で脆弱なデバイスに特別に細工されたSNMPパケットを送信することで、この欠陥を悪用できます。

1. **低権限の攻撃者:** SNMPv2cの読み取り専用コミュニティ文字列、または有効なSNMPv3ユーザー認証情報を持つ攻撃者は、サービス拒否状態を引き起こし、影響を受けるシステムを再起動させ、ネットワーク運用を中断させることができます。
2. **高権限の攻撃者:** SNMPv1またはv2cの読み取り専用コミュニティ文字列と、管理者または特権15の認証情報を組み合わせた攻撃者は、ルートユーザーとして完全なリモートコード実行を達成し、侵害されたシステムを完全に制御する可能性があります。

### 影響を受ける製品と確認方法

この脆弱性は、脆弱なバージョンのIOSおよびIOS XEソフトウェアを実行する幅広いCiscoデバイスに影響を与えます。Meraki MS390およびMeraki CS 17以前のバージョンを実行するCisco Catalyst 9300シリーズスイッチも影響を受けます。

Ciscoは、SNMPが有効なすべてのデバイスは、影響を受けるオブジェクト識別子（OID）を明示的に除外しない限り、脆弱であると見なすべきであることを確認しています。

ネットワーク管理者は、CLIコマンドを使用してSNMP設定を確認することで、デバイスが脆弱であるかどうかを判断できます。

* **SNMPv1およびv2c:** `show running-config include snmp-server community`コマンドでSNMPが有効になっているかを確認します。
* **SNMPv3:** `show running-config include snmp-server group`および`show snmp user`コマンドで確認できます。

### Ciscoの対応と推奨事項

Ciscoの製品セキュリティインシデント対応チーム（PSIRT）は、ローカル管理者認証情報の侵害後にこの脆弱性が積極的に悪用されていることを確認しました。同社は、テクニカルアシスタンスセンターのサポートケースの解決中に進行中の攻撃を発見し、このセキュリティ上の欠陥がもたらす現実世界の脅威を浮き彫りにしました。

この脆弱性は、CVSS 3.1ベーススコアが7.7（高）と評価されており、攻撃ベクトルはネットワーク、複雑度は低、変更スコープと分類されています。この欠陥は、スタックベースのバッファオーバーフロー状態を示すCWE-121に分類され、根本的なメモリ破損問題の重大性を示しています。

Ciscoは、この脆弱性に対処するソフトウェアアップデートをリリースしており、修正されたリリースへの即時アップグレードを強く推奨しています。回避策は利用できませんが、管理者は特定の影響を受けるOIDを無効にし、SNMPアクセスを信頼できるユーザーのみに制限することで緩和策を実装できます。同社は、ソフトウェアアップデートの準備中に`show snmp host`コマンドを使用して影響を受けるシステムを監視するようアドバイスしています。

元記事へのリンク: [https://gbhackers.com/cisco-ios-0-day-rce-vulnerability-actively-targeted/](https://gbhackers.com/cisco-ios-0-day-rce-vulnerability-actively-targeted/)